TRIBUNAL DE CONTAS DA UNIÃO Secretaria de Fiscalização de Tecnologia da Informação RELATÓRIO DE FISCALIZAÇÃO

Tamanho: px
Começar a partir da página:

Download "TRIBUNAL DE CONTAS DA UNIÃO Secretaria de Fiscalização de Tecnologia da Informação RELATÓRIO DE FISCALIZAÇÃO"

Transcrição

1 RELATÓRIO DE FISCALIZAÇÃO TC / Fiscalização 1.047/2010 Relator: Aroldo Cedraz DA FISCALIZAÇÃO Modalidade: Conformidade Ato originário: Despacho de 13/10/2010 do Min. Aroldo Cedraz (TC /2010-2) Objeto da fiscalização: Sistema informatizado que dá suporte às atividades do Sistema Nacional de Transplantes (SNT) Ato de designação: Portaria de alteração - Sefti 2.334/2010, de 12/11/2010 Portaria de alteração - Sefti 63/2011, de 27/1/2011 Período abrangido pela fiscalização: a partir de 2009 (implantação do Sistema Informatizado de Gerenciamento (SIG) sistema informatizado que dá suporte às atividades do SNT) Equipe: Maurício Laurentino de Mesquita Coordenador, matr Sylvio Xavier Junior matr DO ÓRGÃO/ENTIDADE FISCALIZADA Órgão/entidade fiscalizada: Secretaria-Executiva e Secretaria de Atenção à Saúde - MS Vinculação (ministério): Ministério da Saúde Vinculação TCU (unidade técnica): 4ª Secretaria de Controle Externo Responsáveis pelo órgão/entidade: nome: Márcia Aparecida do Amaral cargo: Secretária-Executiva período: a partir de 1º/1/2011 nome: Helvécio Miranda Magalhães Júnior cargo: Secretário de Atenção à Saúde período: a partir de 6/1/2011 PROCESSOS CONEXOS TC / TC / TC /2010-2

2 RESUMO TRIBUNAL DE CONTAS DA UNIÃO Trata-se de auditoria realizada na Secretaria-Executiva do Ministério da Saúde, no período compreendido entre 18/10/2010 e 18/02/2011. A presente auditoria teve por objetivo avaliar o sistema informatizado que apoia as atividades do Sistema Nacional de Transplantes (SNT), quanto à utilização de boas práticas de segurança da informação, aos controles existentes para evitar a ocorrência de erros ou fraudes, à consistência das informações e ao cumprimento da legislação aplicável. A partir do objetivo do trabalho, formularam-se as questões abaixo indicadas: 1 - Os controles de segurança física (das instalações e dos equipamentos) estão de acordo com as boas práticas de segurança da informação da norma ABNT NBR ISO/IEC 27002:2005? 2 - Os controles de gerenciamento das operações e comunicações estão de acordo com as boas práticas de segurança da informação da norma ABNT NBR ISO/IEC 27002:2005? 3 - Os controles de acessos lógicos às informações e aos recursos de processamento estão de acordo com as boas práticas de segurança da informação da norma ABNT NBR ISO/IEC 27002:2005? 4 - Os controles de entrada de dados do sistema estão de acordo com a norma ABNT NBR ISO/IEC 27002:2005 e com o regulamento do SNT? 5 - O controle de vulnerabilidades técnicas está de acordo com as boas práticas de segurança da informação da norma ABNT NBR ISO/IEC 27002:2005? 6 - A gestão de incidentes de segurança da informação está de acordo com as boas práticas de segurança da informação da norma ABNT NBR ISO/IEC 27002:2005? 7 - A gestão da continuidade do negócio está de acordo com as boas práticas de segurança da informação da norma ABNT NBR ISO/IEC 27002:2005? 8 - As informações contidas nas bases de dados utilizadas pelo SNT são consistentes? 9 - As regras de negócio presentes no sistema informatizado em uso no SNT estão de acordo com a legislação/normativos correspondentes? Para a realização deste trabalho, foram utilizadas as diretrizes do roteiro de auditoria de conformidade. As principais constatações deste trabalho foram: a) falhas nos controles relativos às mudanças no SIG; b) inexistência de monitoramento e análise crítica de serviços terceirizados de comunicação de dados; c) falhas na geração de cópias de segurança (backups); d) falhas no monitoramento do uso dos recursos de infraestrutura de TI que dão suporte ao SIG; e) falhas nos registros das alterações dos dados do SIG (logs); f) inexistência de Política de Controle de Acesso (PCA) ou documentos equivalentes; g) falhas nos procedimentos de gerenciamento de acessos dos usuários ao sistema; h) falhas nas críticas de entradas de dados do SIG; i) falhas nos controles de vulnerabilidades técnicas para os recursos de infraestrutura de TI que dão suporte ao SIG; j) inexistência de um processo de gestão de incidentes de segurança da informação; k) inexistência de Plano de Continuidade de Negócio para o SNT;

3 l) inconsistências entre regras utilizadas no sistema e regras definidas pelos normativos do SNT; m) falhas na implantação do SIG; n) falhas na classificação das informações do SNT; o) o sistema de informações não é único, em nível nacional; p) inexistência de criptografia do tráfego de rede do SIG; q) deficiência no controle de acesso às informações do cadastro técnico pelo receptor. Considerando que o sistema objeto desta auditoria foi desenvolvido no âmbito de um contrato de prestação de diversos serviços de TI, bem como o fato de ter sido produzido a partir do código-fonte de outro sistema, registra-se que não foi possível dimensionar o volume de recursos fiscalizados para o presente trabalho. Na avaliação do sistema informatizado que apoia as atividades do Sistema Nacional de Transplantes (SIG/SNT), realizada pela presente auditoria, foram identificados avanços em relação às versões anteriores do sistema e à sistemática operacional utilizada pelo SNT. Identificou-se também, em síntese, a ocorrência de falhas relacionadas à utilização de boas práticas de segurança da informação, aos controles existentes para evitar a ocorrência de erros ou fraudes, à consistência das informações e ao cumprimento da legislação aplicável.

4 1. INTRODUÇÃO 1.1. Deliberação TRIBUNAL DE CONTAS DA UNIÃO 1. A Sefti propôs auditoria nos sistemas informatizados que suportam o SNT, no âmbito do processo referente ao TMS 6 Gestão e uso de tecnologia da informação (TC /2010-2), pelos seguintes critérios: a) risco: a auditoria de avaliação de controles gerais no Ministério da Saúde, realizada neste TMS, evidenciou baixa maturidade acerca do tema gestão de segurança da informação no órgão (TC /2010-0); b) materialidade: o programa SNT tem dotação aproximada de R$ 1,3 bilhão para 2010; c) oportunidade: trata-se se sistema que apoia política de governo de grande relevância social, uma vez que interfere em aspectos de manutenção e qualidade da vida humana (transplante de órgãos). 2. A fiscalização foi então autorizada por meio do despacho de 13/10/2010 do Min. Aroldo Cedraz (TC /2010-2) e realizada no período compreendido entre 18/10/2010 e 18/2/ Visão geral do objeto 3. O Ministério da Saúde executa, dentre suas ações, a Política Nacional de Transplantes de Órgãos e Tecidos, um dos maiores programas públicos de transplantes de órgãos e tecidos do mundo. Segundo dados do portal do Ministério, acessados em 25/2/2011, (peça 35), foram realizados no Brasil, somente no ano de 2009, mais de vinte mil transplantes, incluindo transplantes de coração, rim, fígado, pâncreas, pulmão, córnea e medula. O número total de transplantes vem crescendo a cada ano. 4. Ao Departamento de Atenção Especializada (unidade subordinada à Secretaria de Atenção à Saúde do Ministério da Saúde) compete regular e coordenar as atividades do Sistema Nacional de Transplantes de Órgãos (Decreto 7.336/2010, art. 16, IV). Tais atividades são operacionalizadas pela Coordenação-Geral do Sistema Nacional de Transplantes (CGSNT), unidade que detém as funções de órgão central do Sistema Nacional de Transplantes e é subordinada àquele Departamento, conforme Portaria - MS 2.600/2009, art. 2 (peça 37). 5. Em termos de normativos, a Política Nacional de Transplantes de Órgãos e Tecidos está fundamentada na Lei 9.434/1997 e na Lei /2001. Já a Portaria - MS 2.600/2009 aprova o Regulamento Técnico do Sistema Nacional de Transplantes. 6. Conforme tal Portaria, o Sistema Nacional de Transplantes (SNT) é formado pelo conjunto de unidades que operam e apoiam as atividades de transplantes, tais como: as equipes médicas autorizadas, os estabelecimentos de saúde, as Organizações de Procura de Órgãos (OPOs), as Centrais de Notificação, Captação e Distribuição de Órgãos (CNCDO) nos estados, a Central Nacional de Transplantes (CNT) e a própria Coordenação-Geral (GCSNT). 7. No âmbito do SNT, quando um paciente recebe um diagnóstico indicando a necessidade de um transplante, ele é incluído em um cadastro técnico, onde estão também o registro dos demais pacientes cadastrados como potenciais receptores para transplante do mesmo órgão, formando uma lista de espera. A Portaria - MS 2.600/2009 define uma série de regras e critérios que regulamentam a distribuição de órgãos ofertados para transplante dentre os pacientes em lista. 8. Uma das principais atribuições do SNT é gerir essa lista de espera. Para sistematizar esse processo, o Regulamento Técnico do SNT prevê um Sistema Informatizado de Gerenciamento (SIG), com o objetivo de dar suporte às ações do SNT, dentre elas, registrar os potenciais receptores de órgãos, registrar os doadores, aplicar as regras definidas na Portaria - MS 2.600/2009 e gerar o ranking quando da oferta de órgãos para transplantes. 9. Registra-se que, no início da etapa de planejamento da presente fiscalização, o SNT ainda utilizava um sistema informatizado que antecedeu o SIG, chamado SNT 5.0. O SIG veio com uma proposta de acrescentar uma série de facilidades não contempladas pelo SNT 5.0, e começou a ser

5 implantado a partir do dia 18/10/2010. Até o fim da etapa de relatório desta fiscalização (julho/2011), dezoito estados já estavam utilizando o sistema novo (peças 40 e 41). 10. Registra-se, ainda, que o Tribunal realizou fiscalização de natureza operacional no SNT (TC /2005-2), bem com o monitoramento das deliberações decorrentes (TC /2007-0) Objetivo e questões de auditoria 11. A presente auditoria teve por objetivo avaliar o sistema informatizado que apoia as atividades do Sistema Nacional de Transplantes (SNT), quanto à utilização de boas práticas de segurança da informação, aos controles existentes para evitar a ocorrência de erros ou fraudes, à consistência das informações e ao cumprimento da legislação aplicável. 12. A partir do objetivo do trabalho, formularam-se as questões abaixo indicadas: 1 - Os controles de segurança física (das instalações e dos equipamentos) estão de acordo com as boas práticas de segurança da informação da norma ABNT NBR ISO/IEC 27002:2005? 2 - Os controles de gerenciamento das operações e comunicações estão de acordo com as boas práticas de segurança da informação da norma ABNT NBR ISO/IEC 27002:2005? 3 - Os controles de acessos lógicos às informações e aos recursos de processamento estão de acordo com as boas práticas de segurança da informação da norma ABNT NBR ISO/IEC 27002:2005? 4 - Os controles de entrada de dados do sistema estão de acordo com a norma ABNT NBR ISO/IEC 27002:2005 e com o regulamento do SNT? 5 - O controle de vulnerabilidades técnicas está de acordo com as boas práticas de segurança da informação da norma ABNT NBR ISO/IEC 27002:2005? 6 - A gestão de incidentes de segurança da informação está de acordo com as boas práticas de segurança da informação da norma ABNT NBR ISO/IEC 27002:2005? 7 - A gestão da continuidade do negócio está de acordo com as boas práticas de segurança da informação da norma ABNT NBR ISO/IEC 27002:2005? 8 - As informações contidas nas bases de dados utilizadas pelo SNT são consistentes? 9 - As regras de negócio presentes no sistema informatizado em uso no SNT estão de acordo com a legislação/normativos correspondentes? 1.4. Metodologia Utilizada 13. Durante o planejamento da fiscalização, a equipe levantou os normativos correlatos à área e às boas práticas de segurança da informação, e elaborou a matriz de planejamento, visando atender aos objetivos da auditoria (avaliar o sistema informatizado que apoia as atividades do Sistema Nacional de Transplantes (SNT), quanto à utilização de boas práticas de segurança da informação, aos controles existentes para evitar a ocorrência de erros ou fraudes, à consistência das informações e ao cumprimento da legislação aplicável). 14. Os procedimentos previstos na Matriz de Planejamento foram, então, executados por meio de entrevistas, análise documental, testes no sistema e visitas às áreas do Departamento de Informática do Ministério da Saúde (Datasus), à Central Nacional de Transplantes (CNT) e às CNCDO do DF, CE e PR. 15. As visitas às CNCDO se fizeram necessárias para que a equipe avaliasse in loco a aplicação das regras contidas no Regulamento Técnico do SNT e também para conhecer os procedimentos e controles utilizados pelas CNCDO e pelas equipes médicas que trabalham diretamente com transplantes. 16. Em função de questões envolvendo o sigilo de informações médicas (item 2.12), a equipe

6 realizou ainda entrevista com representante do Conselho Federal de Medicina. 17. Durante a fase de execução, além dos procedimentos inicialmente previstos, a equipe executou procedimentos adicionais em função de achados não previstos na Matriz de Planejamento, relacionados à inexistência de criptografia do tráfego de rede do sistema e às deficiências no controle de acesso às informações do cadastro técnico pelo receptor (itens 3.1 e 3.2 deste relatório). 18. Esse trabalho seguiu o roteiro de auditoria de conformidade do TCU, mas não necessariamente guarda conformidade com todo o conteúdo das Normas de Auditoria do TCU (NAT), uma vez que o planejamento e boa parte da execução da auditoria ocorreram antes da publicação das NAT Limitações 19. Houve duas limitações ao trabalho realizado. A primeira é referente ao não fornecimento da base de dados do Sistema Informatizado de Gerenciamento (SIG), que apoia as atividades do Sistema Nacional de transplantes (SNT). A base de dados foi solicitada pela equipe em 22/11/2010 (peça 13, p. 4-5), mas, por uma questão de sigilo médico alegada pela Secretaria de Atenção à Saúde do Ministério da Saúde (SAS/MS) (peça 9, p. 1), não foi disponibilizada à equipe até a apresentação do relatório ao supervisor da fiscalização (peça 11, p. 1; peça 12, p. 1). O acesso às informações da base de dados teria permitido, dentre outras ações, uma análise dos dados à luz do regulamento do SNT, comparando, por exemplo, as regras de seleção de receptores com os resultados de seleções presentes na base. 20. A outra limitação refere-se à ausência de contato direto da equipe de auditoria com a equipe de desenvolvimento do SIG. A equipe solicitou ao Datasus autorização para que a equipe de desenvolvimento do SIG fornecesse dados e respostas às solicitações de cunho eminentemente técnico sobre o Sistema, diretamente à equipe de auditoria, pessoalmente ou via endereços eletrônicos dos auditores, com cópia para o Datasus, de maneira a agilizar o fornecimento de informações, ante ao alongado prazo em que as mesmas estavam sendo repassadas à equipe (peça 13, p. 1, item c ). 21. Em resposta (peça 10, p. 3-4, item f ), o Datasus apresentou, como alternativa à solicitação da equipe de auditoria, uma interlocutora (Coordenadora de Desenvolvimento do Sistema de Saúde), e não autorizou o acesso direto à equipe de desenvolvimento. 22. Assim, durante os trabalhos, a equipe de auditoria não teve contato com a equipe de desenvolvimento, que é terceirizada e localizada em São Paulo, impedindo a realização de entrevistas, por exemplo, que permitiriam a execução do trabalho em menos tempo VRF 23. Considerando que o sistema objeto desta auditoria foi desenvolvido no âmbito de um contrato de prestação de diversos serviços de TI, bem como o fato de ter sido produzido a partir do código-fonte de outro sistema, registra-se que não foi possível dimensionar o volume de recursos fiscalizado para o presente trabalho Benefícios estimados 24. Entre os benefícios estimados desta fiscalização podem-se mencionar melhorias nos controles internos, por meio do aprimoramento de práticas de segurança da informação, e o incremento da confiança dos cidadãos nas instituições públicas, por meio da indução ao cumprimento da legislação aplicável ao SNT Processos conexos: a) TC / Auditoria de Controles Gerais de TI no Ministério da Saúde; b) TC / Consolidação dos trabalhos do TMS Gestão e Uso de TI; c) TC / Proposta de trabalho para atender ao TMS6 Gestão e Uso de TI. 2. ACHADOS DE AUDITORIA

7 2.1. Falhas nos controles relativos às mudanças no SIG Situação encontrada: 25. De acordo com o item da Norma Técnica ABNT NBR ISO/IEC 27002:2005, é conveniente que sistemas operacionais e aplicativos estejam sujeitos a rígido controle de gestão de mudanças. A norma recomenda que sejam considerados, dentre outros controles, os seguintes itens: identificação e registro das mudanças significativas, planejamento e testes das mudanças, avaliação de impactos potenciais, incluindo impactos de seguranças, de tais mudanças, procedimento formal de aprovação das mudanças propostas, comunicação dos detalhes das mudanças, e procedimentos de recuperação [...] em caso de insucesso ou na ocorrência de eventos inesperados. 26. De acordo com o item da mesma norma, é conveniente que a implementação de mudanças seja controlada utilizando procedimentos formais de controle de mudanças e que os procedimentos de controle de mudanças sejam documentados e reforçados com a finalidade de minimizar a corrupção dos sistemas de informação. A norma recomenda que os procedimentos de mudanças incluam, dentre outros controles, os seguintes itens: a garantia de que as mudanças sejam submetidas por usuários autorizados, a obtenção de aprovação formal para propostas detalhadas antes da implementação, a garantia da aceitação das mudanças por usuários autorizados, antes da implementação e a manutenção de um controle de versões de todas as atualizações de softwares. 27. Por meio do item 1 do Ofício /2010 da equipe de auditoria (peça 13, p. 6), foi solicitado que o Datasus confirmasse a seguinte afirmação obtida em reunião com sua equipe de infraestrutura de TI: Não há um processo documentado e formalizado de gestão de mudanças no SIG, incluindo documentação das mudanças (o que e por que mudou), aprovação e aceitação formal das mudanças por usuários autorizados (do SIG e/ou da equipe de desenvolvimento), horários das mudanças, controle de versões, trilhas de auditoria de mudanças. 28. Em resposta, por meio do Ofício 152/2010/GAB/DATASUS/SE/MS (peça 8, p. 1), o Datasus encaminhou despacho de seu Coordenador-Geral de Infraestrutura com a seguinte informação: Não temos este processo implantado para este sistema. A área responsável já iniciou a implantação das disciplinas ITIL, com o objetivo de melhorar os processos e controles das atividades desenvolvidas pela área de gestão e administração de Rede e Telecomunicação, que é responsável pela operação dos equipamentos que suportam este sistema. (peça 8, p. 2). 29. Portanto, conclui-se que o Datasus não tem um processo formalizado e documentado de gestão de mudanças implementado para o SIG, nos termos descritos acima. 30. Por meio do item III. a) do mesmo Ofício /2010 (peça 13, p. 7), foi solicitado também que o Datasus disponibilizasse documento, mencionado em entrevista com sua equipe de infraestrutura de TI, que descreveria como funciona o processo de mudanças do SIG. 31. Em resposta, por meio do Ofício 152/2010/GAB/DATASUS/SE/MS, o Datasus encaminhou o arquivo magnético Reposta - TCU abcd.doc (peça 8, p. 3). 32. Esse documento (peça 15, p. 1-26) descreve uma estrutura de atualização e replicação de arquivos, a qual foi projetada pelo Datasus para realizar a publicação automática de conteúdo de diversos websites do Ministério da Saúde. Nessa estrutura, no caso do SIG do SNT, a publicação de conteúdo feita pelos desenvolvedores não é realizada diretamente nos servidores de homologação e de produção, mas em um servidor separado de replicação de código da aplicação, que possui cópia destes dois ambientes. Rotinas automáticas replicam as modificações gravadas nesse servidor de replicação para o servidor de homologação ou para o servidor de produção, conforme o caso. 33. Portanto, algumas boas práticas podem ser identificadas: separação dos ambientes de homologação e de produção, uso de rotinas automatizadas para publicação de conteúdo, existência de logs de publicações e de modificações, possibilidade de retorno à situação anterior em caso de

8 insucesso em mudança, limitação do acesso ao ambiente de transferência de arquivos do servidor de replicação somente aos usuários definidos pela equipe responsável pelo sistema e registro das mudanças em ordens de serviço. 34. Entretanto, como consequência da inexistência de um processo formalizado e documentado de gestão de mudanças implementado para o SIG, algumas falhas também foram identificadas. 35. As solicitações de mudanças do SIG são registradas como ordens de serviço no sistema SDM (Service Desk Manager) do Datasus. Duas ordens de serviço extraídas desse sistema (peças 17, 18 e 23) mostram que modificações foram realizadas diretamente no ambiente de produção do SIG, conforme solicitação de um integrante da equipe de desenvolvimento do sistema (números de chamado e ). Contudo, essa ferramenta (ordem de serviço do SDM) não traz os detalhes da mudança e não apresenta evidência de sua aprovação pelo gestor do sistema. 36. Nessas mesmas ordens de serviço, verifica-se que as modificações foram solicitadas diretamente para o ambiente de produção, contrariando definição do Documento de Arquitetura do SIG (peça 19, p. 6). De acordo com o fluxo que descreve a rotina de implantação, presente no referido documento, deve ser seguida a seguinte sequência de procedimentos: 1) as regras e requisitos implementadas pela equipe de desenvolvimento são atualizadas no ambiente de homologação; 2) o gestor realiza a homologação das regras e requisitos implementados no sistema; 3) as regras e requisitos aprovados pelo gestor permitem a atualização das informações do ambiente de homologação para o ambiente de produção. 37. Assim, de acordo com o Documento de Arquitetura do SIG, o servidor de produção somente deveria receber atualizações advindas do servidor de homologação (e não do ambiente de desenvolvimento), e somente depois de serem homologadas pelo gestor do sistema Causas da ocorrência do achado: a) inexistência do processo de gestão de mudanças no Datasus, identificada na auditoria de controles gerais no Ministério da Saúde Efeitos/Consequências do achado: a) código do sistema no ambiente de produção não homologado pelo gestor do sistema (efeito real); b) impossibilidade de rastrear as modificações realizadas no sistema (efeito real) Critérios: a) Norma Técnica ABNT NBR ISO/IEC 27002:2005 item Procedimentos para controle de mudanças; b) Norma Técnica ABNT NBR ISO/IEC 27002:2005 item Gestão de mudanças; c) Documento de Arquitetura do SIG (peça 19); d) Acórdão 757/2011-TCU- Plenário, item Evidências: a) OS atualização SIG p. 2-2 (peça 18); b) OS atualização SIG p. 1-2 (peça 17); c) Ofício 152/2010/GAB/DATASUS/SE/MS (peça 8); d) arquivo anexo ao Ofício 152/2010-Datasus (Resposta TCU abcd.doc; peça 15); e) OS atualização SIG (peça 23) Conclusão da equipe:

9 38. O item da Norma Técnica ABNT NBR ISO/IEC 27002:2005 alerta que O controle inadequado de modificações nos sistemas e nos recursos de processamento da informação é uma causa comum de falhas de segurança ou de sistema. 39. Observou-se que o controle de modificações do SIG mostrou-se inadequado decorrente do fato de que o Datasus não tem um processo formalizado e documentado de gestão de mudanças e também porque a ferramenta utilizada para registrar demandas de mudanças no sistema não permite a rastreabilidade das modificações realizadas pela equipe de desenvolvimento. Além disso, verificou-se que modificações foram realizadas diretamente no ambiente de produção sem evidência de homologação formal pela Coordenação-Geral do SNT. 40. Portanto, entende-se necessário que o Ministério da Saúde aperfeiçoe os controles relativos às mudanças do SIG, em especial quanto à necessidade de estabelecer um processo formalizado e documentado de gestão de mudanças, o que já foi objeto de recomendação desta Corte contida no Acórdão 757/2011-TCU- Plenário. 41. Resta, entretanto, proposta para que o Ministério da Saúde implante controles para garantir um procedimento correto de implantação de mudanças do SIG no ambiente de produção, e que o gestor do SIG apure se as alterações introduzidas no sistema decorrentes das OS supramencionadas são devidas, providenciando a ratificação da homologação das mudanças. 42. Cabe registrar a pertinência de que a Sefti considere os fatos relatados por ocasião do monitoramento do item do Acórdão 757/2011-TCU- Plenário Proposta de encaminhamento: 43. Recomendar à Secretaria-Executiva do Ministério da Saúde que, ao estabelecer os procedimentos formais de gestão de mudanças, em atendimento ao item do Acórdão 757/2011- TCU-Plenário, inclua controles para garantir que as mudanças implementadas no ambiente de produção dos sistemas sejam precedidas de homologação pelo gestor, observando ainda os itens , letra d, e , letra f, da Norma Técnica ABNT NBR ISO/IEC 27002: Determinar à Secretaria-Executiva do Ministério da Saúde que, em atenção ao Documento de Arquitetura do SIG, apure se as mudanças decorrentes das ordens de serviço registradas no SDM, cujos números de chamado são e , são devidas, providenciando ou a ratificação da homologação dessas mudanças, ou as medidas necessárias para que o código do sistema no ambiente de produção seja o que foi homologado pelo gestor. 45. Recomendar à Secretaria-Executiva do Ministério da Saúde que, em atenção ao Documento de Arquitetura do SIG, verifique se as mudanças no SIG decorrentes das ordens de serviço registradas no SDM foram precedidas de homologação pelo gestor, corrigindo eventuais inconsistências, tais como as encontradas no caso dos chamados de números e Inexistência de monitoramento e análise crítica de serviços terceirizados de comunicação de dados Situação encontrada: 46. O item da Norma Técnica ABNT NBR ISO/IEC 27002:2005 recomenda que os serviços, relatórios e registros fornecidos por terceiro sejam regularmente monitorados e analisados criticamente, e que auditorias sejam executadas regularmente. 47. Por meio do item 9 do Ofício /2010 da equipe de auditoria (peça 13, p. 7), foi solicitado que o Datasus informasse sobre a existência de monitoramento e análise crítica de serviços terceirizados de comunicação de dados (indicadores, níveis de desempenho e disponibilidade) para garantir o cumprimento das definições de níveis de serviço dos contratos. 48. Em resposta, por meio do Ofício 152/2010/GAB/DATASUS/SE/MS (peça 8, p. 1), o Datasus encaminhou a seguinte informação: Os níveis de serviço são controlados por meio de relatórios mensais de cumprimento dos SLAs [acordos de níveis de serviço] contratados. Não havendo,

10 todavia, uma análise crítica destes serviços (peça 8, p. 3). 49. Os referidos relatórios mensais (peça 15, p ) registram a disponibilidade medida (coluna Valor Medido ) para os links de comunicação de dados contratados com a empresa Embratel, a qual é comparada com a disponibilidade acordada em contrato (coluna Valor da Métrica ). Esses relatórios mostram que a disponibilidade dos serviços de comunicação de dados que atendem ao SNT não atinge o nível de serviço contratado pelo Ministério da Saúde em alguns casos (peça 15, p. 78 e 80 a 85). Registre-se que as consequências do descumprimento da disponibilidade contratada decorrentes de cláusulas contratuais não estavam no escopo desta fiscalização, motivo pelo qual se proporá dar ciência do ocorrido ao Ministério. 50. Entretanto, as informações de disponibilidade são fornecidas pelo próprio fornecedor do serviço (Embratel) e não há monitoramento e análise crítica para garantir o cumprimento das definições de níveis de serviços contratados. Por oportuno, evidencia-se, nos relatórios apresentados, que haveria links com disponibilidade acima de 100%, o que não é possível ante o conceito de disponibilidade (peça 15, p. 80 e 82). 51. Ressalte-se que as disponibilidades mostradas nesses relatórios mensais são dos links WAN que atendem ao sistema SNT 5.0, os quais não atenderão o sistema novo (SIG) que utilizará links da internet Causas da ocorrência do achado: a) inexistência de controles Efeitos/Consequências do achado: a) níveis de serviços de comunicação de dados efetivos abaixo dos níveis de serviços contratados (efeito real) Critérios: a) Norma Técnica ABNT NBR ISO/IEC 27002:2005 item Monitoramento e análise crítica de serviços terceirizados Evidências: a) Ofício 152/2010/GAB/DATASUS/SE/MS (peça 8); b) arquivo anexo ao Ofício 152/2010-Datasus (Resposta TCU abcd.doc; peça 15) Conclusão da equipe: 52. Apesar de o gestor informar que a disponibilidade dos links WAN que atendem ao sistema que antecedeu o SIG (SNT 5.0) são controlados por meio dos relatórios mensais apresentados, entende-se necessário recomendar ao Ministério da Saúde que estabeleça controles que permitam o monitoramento e análise crítica dos serviços de comunicação de dados contratados para atender às necessidades do SNT, em especial dos links da internet, com o objetivo de assegurar o cumprimento das definições de níveis de serviço por parte da empresa contratada, bem como dar ciência do descumprimento do nível de serviço em alguns meses de Proposta de encaminhamento: 53. Recomendar à Secretaria-Executiva do Ministério da Saúde que estabeleça controles que permitam o monitoramento e análise crítica dos serviços de comunicação de dados contratados para atender às necessidades do SNT, em especial dos links da internet, com o objetivo de assegurar o cumprimento das definições de níveis de serviço por parte da empresa contratada, observando as recomendações do item da Norma Técnica ABNT NBR ISO/IEC 27002: Dar ciência à Secretaria-Executiva do Ministério da Saúde sobre a seguinte impropriedade identificada nos relatórios mensais de SLA do contrato com a empresa Embratel: nível de serviço

11 medido inferior ao contratado, o que afronta a Lei 8.666/1993, art Falhas no monitoramento do uso dos recursos de infraestrutura de TI que dão suporte ao SIG Situação encontrada: 55. Com o objetivo de detectar atividades não autorizadas de processamento da informação, o item da Norma Técnica ABNT NBR ISO/IEC 27002:2005 recomenda que os sistemas sejam monitorados e eventos de segurança da informação sejam registrados. De acordo com o item , é conveniente que sejam estabelecidos procedimentos para o monitoramento do uso dos recursos de processamento da informação e os resultados das atividades de monitoramento sejam analisados criticamente, de forma regular e que o nível de monitoramento requerido para os recursos individuais seja determinado através de uma análise/avaliação de riscos. 56. O item da mesma norma recomenda que os recursos e informações de registros (log) sejam protegidos contra falsificação e acesso não autorizado e que os controles implementados objetivem a proteção contra modificações não autorizadas e problemas operacionais com os recursos dos registros (log), como, por exemplo, capacidade de armazenamento da mídia magnética do arquivo de registros (log) excedida. 57. O item , também da mesma norma, recomenda que as atividades dos administradores e operadores do sistema sejam registradas e que os registros (log) de atividades dos operadores e administradores dos sistemas sejam analisados criticamente em intervalos regulares. 58. Para avaliar a adequação dos procedimentos adotados pelo órgão auditado às práticas acima expostas, a equipe de auditoria reuniu-se com a equipe de infraestrutura de TI do Datasus e solicitou, por meio dos itens do Ofício /2010 (peça 13, p. 6) abaixo relacionados, que o Datasus confirmasse as observações apontadas na reunião, cujas respostas, encaminhadas por meio do Ofício 152/2010/GAB/DATASUS/SE/MS (peça 8, p. 1) foram transcritas em sequência: 59. Item 2: Não há monitoramento (baseado ou não em análise de riscos) dos eventos de log de sistema operacional e de banco de dados, por exemplo, atividades de administradores, tentativas de acesso com insucesso e consultas/alterações diretamente na base de dados. 60. Resposta do Datasus: Este monitoramento só é realizado quando da ocorrência de qualquer incidente sendo, portanto, reativo (peça 8, p. 2). 61. Item 3: Não há revisão/análise crítica dos arquivos de eventos de log de sistema operacional e de banco de dados. 62. Resposta do Datasus: Esta revisão/análise crítica não é realizada. Os logs são verificados quando da ocorrência de qualquer incidente (peça 8, p. 2). 63. Item 4: Não há mecanismos de proteção dos registros de logs (tempo de retenção, backups, servidor centralizador de logs), incluindo proteção contra alterações e exclusões por parte dos usuários administradores. 64. Resposta do Datasus: Os requisitos para proteção dos registros de log não foram definidos. Esta definição ocorrerá como parte do processo, já iniciado, de melhoria e adequação deste sistema à norma ABNT NBR ISO/IEC 27001:2006 (peça 8, p. 2). 65. Item 5: Existe uso compartilhado de contas impessoais com privilégio administrativo do sistema operacional e do sistema gerenciador de banco de dados. 66. Resposta do Datasus: Sim, as contas impessoais, em especial aquelas destinadas à serviços do sistema operacional e banco de dados, são de conhecimento compartilhado e acabam sendo utilizadas pelos administradores, tanto de Banco de Dados quanto de sistemas operacionais (peça 8, p. 2). 67. Essa situação de uso compartilhado de contas impessoais com privilégios de administrador

12 também foi evidenciada pelo documento SNT - Lista de Usuários, enviado pelo Datasus em meio digital (CD de dados) por meio do mesmo Ofício 152/2010/GAB/DATASUS/SE/MS (peça 16). 68. Item 6: Não há controle formal sobre as atividades de usuários administradores (não são justificadas, aprovadas e documentadas; não são monitoradas e não são revisadas criticamente em atividades regulares). 69. Resposta do Datasus: Confirmamos esta afirmativa, não existe monitoramento sobre as atividades de usuários administradores (peça 8, p. 3). 70. Em suma, foram encontradas as seguintes falhas relacionadas ao monitoramento do uso dos recursos de infraestrutura de TI que dão suporte ao SIG: a) monitoramento reativo de eventos de log de sistema operacional e de banco de dados; b) não há revisão/análise crítica dos arquivos de log de forma regular, nem mecanismos de proteção desses arquivos contra modificações não autorizadas; c) existência e uso compartilhado de contas impessoais de usuários administradores de banco de dados e de sistema operacional; e d) não há controle formal e nem monitoramento das atividades desses usuários. 71. A título de exemplo, registre-se que o Tribunal já se pronunciou sobre o assunto, por meio dos itens e do Acórdão 71/2007-TCU-Plenário, deliberando no sentido de que o órgão auditado naqueles autos implementasse controles compensatórios (autorização formal, registro e monitoramento das alterações) para as operações dos administradores de banco de dados de forma a permitir o registro e rastreamento das operações realizadas na base de dados com privilégios, bem como que utilizasse identificadores de usuários únicos para o sistema em análise (conta única não compartilhada), de forma a fixar a responsabilidade de cada usuário, inclusive para os usuários com privilégios de administração Causas da ocorrência do achado: a) inexistência de controles Efeitos/Consequências do achado: a) não detecção de atividades não autorizadas (efeito potencial); b) não detecção de acessos/alterações não autorizados às informações clínicas de receptores e doadores realizados por meio de contas de usuários impessoais com perfil de administrador de banco de dados (efeito potencial); c) não detecção de alterações realizadas diretamente no banco de dados realizados por meio de contas de usuários impessoais com perfil de administrador de banco de dados (efeito potencial); d) impossibilidade de identificar e responsabilizar autores de atividades não autorizadas. (efeito potencial) Critérios: a) Norma Técnica ABNT NBR ISO/IEC 27002:2005 item Registro de usuário; b) Norma Técnica ABNT NBR ISO/IEC 27002:2005 item Proteção das informações dos registros (log); c) Norma Técnica ABNT NBR ISO/IEC 27002:2005 item Monitoramento do uso do sistema; d) Norma Técnica ABNT NBR ISO/IEC 27002:2005 item Registros (log) de administrador e operador Evidências: a) Ofício 152/2010/GAB/DATASUS/SE/MS (peça 8); b) arquivo anexo ao Ofício 152/2010-Datasus (SNT Lista de usuários.pdf; peça 16).

13 Conclusão da equipe: 72. O Datasus não tem procedimentos estabelecidos que possibilitem o monitoramento proativo do uso dos recursos de infraestrutura de TI que dão suporte ao SIG e atividades não autorizadas podem não ser detectadas. 73. A possibilidade técnica de acesso aos dados diretamente pelo sistema gerenciador de banco de dados é intrínseca ao papel do administrador de banco de dados, e não há como evitá-la. Portanto, a inexistência de monitoramento e controle formal das atividades de usuários administradores possibilita, por exemplo, que acessos não autorizados às informações clínicas sigilosas de receptores e doadores realizados por meio de contas de usuários com perfil de administrador de banco de dados e até mesmo possíveis alterações realizadas diretamente no banco de dados por esses usuários não sejam sequer detectadas. 74. Além disso, o uso compartilhado de contas de usuários impessoais com privilégios de administrador no sistema operacional e no banco de dados impossibilita a identificação e a responsabilização dos autores de atividades não autorizadas, eventualmente detectadas no caso de algum incidente de segurança Proposta de encaminhamento: 75. Recomendar à Secretaria-Executiva do Ministério da Saúde que: a) implante mecanismos de proteção dos registros de auditoria (logs) contra modificações e exclusões não autorizadas, em especial por parte de usuários administradores, bem como contra problemas operacionais, observando as recomendações do item da Norma Técnica ABNT NBR ISO/IEC 27002:2005; b) implante procedimentos que possibilitem o monitoramento proativo do uso dos recursos de infraestrutura de TI que dão suporte ao SIG, observando as recomendações do item da Norma Técnica ABNT NBR ISO/IEC 27002:2005; c) implante controle formal (motivação, aprovação e documentação), registros de auditoria (logs), monitoramento e análise crítica regular das atividades de usuários administradores, observando as recomendações do item da Norma Técnica ABNT NBR ISO/IEC 27002:2005, ou implante controles compensatórios para monitorar as atividades realizadas por estes usuários; d) utilize contas de usuários únicas, pessoais e não compartilhadas de forma a possibilitar a identificação dos autores de atividades realizadas com privilégios administrativos no sistema operacional e no banco de dados, conforme recomendado no item , diretriz para implementação a, da Norma Técnica ABNT NBR ISO/IEC 27002: Falhas na geração de cópias de segurança (backups) Situação encontrada: 76. De acordo com o item da Norma Técnica ABNT NBR ISO/IEC 27002:2005, é conveniente que as cópias de segurança das informações e dos softwares sejam efetuadas e testadas regularmente conforme a política de geração de cópias de segurança definida e que recursos adequados para a geração de cópias de segurança sejam disponibilizados para garantir que toda informação e software essenciais possam ser recuperados após um desastre ou falha de uma mídia. 77. A norma recomenda algumas diretrizes a serem consideradas para a geração das cópias de segurança, dentre as quais se destacam: produção de registros completos e exatos das cópias de segurança e documentação apropriada sobre os procedimentos de restauração da informação, a extensão (por exemplo, completa ou diferencial) e a frequência da geração das cópias de segurança reflita os requisitos de negócio da organização, além dos requisitos de segurança da informação envolvidos e a criticidade da informação para a continuidade da operação da organização, as cópias de segurança sejam armazenadas em uma localidade remota, a uma distância suficiente para escapar dos danos de um desastre ocorrido no local principal, as mídias de cópias de segurança sejam testadas regularmente para garantir que elas são suficientemente confiáveis para uso de emergência,

14 quando necessário, os procedimentos de recuperação sejam verificados e testados regularmente, de forma a garantir que estes são efetivos e que podem ser concluídos dentro dos prazos definidos nos procedimentos operacionais de recuperação e em situações onde a confidencialidade é importante, cópias de segurança sejam protegidas através de encriptação. 78. Por meio do item b do Ofício /2010 da equipe de auditoria (peça 13, p. 1), reiterado pelos Ofícios /2010 (peça 13, p. 3) e /2010 (peça 13, p. 8), foi solicitado ao Ministério da Saúde documentação referente à política de backup relativa aos sistemas informatizados que apoiam as atividades do Sistema Nacional de Transplantes (SNT 5.0 e SIG). 79. Em resposta, por meio do Ofício 162/2010/GAB/DATASUS/SE/MS (peça 10, p. 1), o Datasus encaminhou documentação em que estaria relatada a política de backup relativa ao banco de dados do Sistema Nacional de Transplantes (SNT) (peça 10, p. 3). 80. Entretanto, a documentação enviada (peça 10, p ) não é específica para os bancos de dados de transplantes (SNT 5.0 e SIG), pois descreve a criação e o monitoramento de procedimentos de backup para qualquer banco de dados SQL Server. 81. Por meio do item c do Ofício /2010 da equipe de auditoria (peça 13, p. 7), foi solicitado que o Datasus disponibilizasse documento, mencionado em entrevista com sua equipe de infraestrutura de TI, com informações sobre política/procedimentos de backup da aplicação SNT e do banco de dados. 82. Em resposta, por meio do Ofício 152/2010/GAB/DATASUS/SE/MS, o Datasus informou que as informações requeridas encontram-se no arquivo Resposta - TCU abcd.doc, encaminhado à equipe (peça 8, p. 3). 83. Esse documento (peça 15, p. 73) traz informações sobre a periodicidade e os tempos de retenção da cópia de segurança completa da base de dados do SNT. 84. Entretanto, após análise dessas informações fornecidas pelo Datasus, as seguintes falhas foram constatadas: a) inexistência de política formalizada para geração de backups com informações específicas para o negócio do SNT; b) não há evidências de que a extensão e a frequência dos backups foram definidas com base em necessidades do negócio; c) não existem procedimentos definidos e documentados para backup do código fonte da aplicação; d) existem procedimentos para backup dos dados, mas não há definição e documentação de procedimentos de recuperação; e) não há evidência de que os backups devem ser testados regularmente; f) não há evidência de que as mídias (fitas) devem ser testadas regularmente para garantir que são suficientemente confiáveis para uso em caso de emergência; g) não há evidência de que os backups devem ser armazenados em localidade remota, a uma distância suficiente para escapar de eventuais de danos causados por desastres no seu CPD; h) não há evidência de que os backups sejam protegidos por criptografia. 85. A título de exemplo, por meio do item do Acórdão 71/2007-TCU-Plenário, este Tribunal já emitiu determinação para que o órgão auditado naquele caso formalizasse política de geração de cópias de segurança Causas da ocorrência do achado: a) inexistência de controles Efeitos/Consequências do achado: a) quebra de sigilo de informações clínicas de receptores e doadores, porque os backups não

15 são protegidos por criptografia (efeito potencial); b) impossibilidade ou dificuldade de recuperação de informações (efeito potencial); c) as cópias de segurança existentes não atendem às necessidades de negócio (efeito potencial) Critérios: a) Norma Técnica ABNT NBR ISO/IEC 27002:2005 item Cópia de segurança das informações Evidências: a) Ofício 162/2010/GAB/DATASUS/SE/MS (peça 10); b) Ofício 152/2010/GAB/DATASUS/SE/MS (peça 8); c) arquivo anexo ao Ofício 152/2010-Datasus (Resposta TCU abcd.doc; peça 15) Conclusão da equipe: 86. Uma política de backups definida e formalizada com base nas necessidades de negócio é importante para mitigar riscos na recuperação adequada das informações em caso de perdas por causa de acidentes ou falhas. 87. Procedimentos de testes regulares de recuperação contribuem para aumentar a confiabilidade e a efetividade dos backups realizados. 88. Mídias de backup devem ser armazenadas em locais a uma distância suficiente para escapar de danos causados por eventual desastre ocorrido na instalação principal. 89. Considerando a necessidade de sigilo das informações médicas de receptores e doadores, pode ser necessário criptografar os dados contidos nos backups, requisito que deve ser estabelecido pelo gestor do sistema. 90. Portanto, entende-se necessário recomendar à Secretaria-Executiva do Ministério da Saúde que aperfeiçoe os procedimentos de backup do código do sistema (SIG) e dos dados de transplantes Proposta de encaminhamento: 91. Recomendar à Secretaria-Executiva do Ministério da Saúde que defina e formalize uma política de cópias de segurança (backups) que inclua o código-fonte e a base de dados do SIG com base nas necessidades de negócio do SNT, incluindo procedimentos regulares de recuperação e observando as recomendações contidas no item da Norma Técnica ABNT NBR ISO/IEC 27002: Recomendar à Secretaria-Executiva do Ministério da Saúde que, considerando a necessidade de proteger o sigilo das informações médicas de receptores e doadores, avalie a conveniência de criptografar os dados gravados nas mídias das cópias de segurança do SIG, conforme recomenda a diretriz para implementação h do item da Norma Técnica ABNT NBR ISO/IEC 27002: Falhas nos registros das alterações dos dados do SIG (logs) Situação encontrada: 93. De acordo com a Norma Complementar - IN01/DSIC/GSI/PR 7/2010, item 5.3.4, deve-se registrar eventos relevantes, previamente definidos, para a segurança e rastreamento de acesso às informações sigilosas. 94. O item da Norma Técnica ABNT NBR ISO/IEC 27002:2005 recomenda que registros (log) de auditoria contendo atividades dos usuários, exceções e outros eventos de segurança da informação sejam produzidos e mantidos por um período de tempo acordado para auxiliar em

16 futuras investigações e monitoramento de controle de acesso. 95. Já o anexo D da Norma Técnica ABNT NBR ISO/IEC 27005:2008 Gestão de riscos de segurança da informação menciona a inexistência de trilha de auditoria como exemplo de vulnerabilidade que pode ser explorada por ameaças aos ativos de informação. 96. Depreende-se desses normativos a pertinência de que os acessos às informações relevantes presentes nos sistemas de informação devem ser registrados de maneira que permita sua rastreabilidade, ou seja, que torne possível identificar se uma determinada informação sensível foi acessada ou alterada e quem executou tal operação. 97. Em testes no ambiente de homologação, a equipe de auditoria observou que as alterações no status do receptor são registradas e podem ser visualizadas na tela do próprio sistema, com as informações de data e usuário que efetuou a alteração. Entretanto, verificou-se também que perfis de usuários como administrador, equipe e central estadual podem alterar dados de identificação, dados clínicos e dados da ficha complementar, sem que se identifique o registro (log) contendo data e usuário que efetuou a alteração, nem nas telas e relatórios do sistema, nem no modelo de dados, nas regras de negócio ou nos casos de uso. 98. Em função disso, a equipe de auditoria solicitou ao Datasus, por meio do Ofício /2011, informações sobre registro (log) no sistema das alterações de dados de identificação, dados clínicos e dados da ficha complementar do receptor (peça 32). 99. Em resposta, por meio do Ofício MS/SE/GAB 344 (peça 29, p. 2), o Datasus informou que são registradas em log todas as manipulações de dados informações de dados clínicos, ficha complementar e identificação que influenciam a posição do receptor na seleção. Os registros contêm a descrição do usuário, a data e a operação realizada. Informou ainda que todo log é inserido em um esquema do banco de dados a parte, chamado DB_CETESP_LOG, em que ficam inseridas todas as informações referentes ao controle interno do sistema. Um esquema é uma coleção de objetos de um banco de dados que se referem diretamente aos dados e estão disponíveis a um usuário ou grupo de usuários (informações retiradas da Wikipédia, com adaptações, consultada em 15/7/2011) Segundo o Datasus, atualmente apenas as informações de log de status são exibidas no sistema, conforme solicitado pelo gestor A equipe não recebeu a base de dados do sistema (peça 9, p. 1; peça 11, p. 1; peça 12, p. 1), conforme solicitado (peça 13, p. 4-5), o que permitiria a verificação dos registros. Para contornar essa limitação, a equipe visitou a área de administração de banco de dados e verificou o esquema DB_CETESP_LOG in loco Na visita, por meio de testes no ambiente de homologação, foi possível confirmar que as alterações de dados clínicos e dados da ficha complementar são registrados e podem ser rastreados. Contudo, verificou-se que nem todas as alterações são registradas, sendo que pelo menos um tipo de alteração relevante não é registrado: a da data de inscrição de um receptor Essa alteração, considerada relevante porque potencialmente influencia a posição de um receptor no ranking, não é registrada no esquema DB_CETESP_LOG, sendo que a equipe realizou uma desse tipo e em seguida consultou o log, confirmando tal fato Além disso, considera-se que as alterações nas informações do paciente, relativas a seus dados clínicos e a sua ficha complementar, devem ser identificadas nas telas e relatórios do sistema e na tela de consulta do receptor ao seu prontuário, de modo a dar transparência aos usuários com relação às alterações das informações. Essa ação consistiria na implementação de um controle dissuasivo, tipo de controle que busca mitigar o risco pelo desencorajamento de violações nos sistemas O Tribunal, ao se pronunciar em matéria semelhante, por meio do item do Acórdão 906/2009-TCU-Plenário, determinou a implementação de procedimento para controlar as informações alteradas pelo usuário do sistema auditado na ocasião, registrando a sequência de ações executadas por

17 ele no sistema, à semelhança do item da NBR ISO/IEC 27002:2005, com vistas a viabilizar a realização de auditorias para identificar e responsabilizar os causadores de possíveis alterações nos dados Causas da ocorrência do achado: a) inexistência de controles Efeitos/Consequências do achado: a) dificuldades no monitoramento das atividades dos usuários do SIG (efeito real); b) existência de alterações significativas nos dados sem que seja possível identificar o correspondente autor (efeito potencial) Critérios: a) Acórdão 906/2009, item 9.3.7, Tribunal de Contas da União, Plenário; b) Norma Técnica Gabinete de Segurança Institucional Presidência da República Norma Complementar - IN01/DSIC/GSI/PR 7/2010; c) Norma Técnica ABNT NBR ISO/IEC 27002:2005 item Registros de auditoria; d) Norma Técnica ABNT NBR ISO/IEC 27005:2008, anexo D Evidências: a) Ofício MS/SE/GAB 344 resposta do Datasus ao Ofício de Requisição /2011 peça Conclusão da equipe: 106. Foi identificado que o sistema SIG, apesar de registrar em log algumas alterações de dados que influenciam a posição do receptor na seleção, tais como informações de dados clínicos, ficha complementar e identificação, não está efetuando o registro de outras alterações relevantes nos dados de receptores, não permitindo, para estes casos, o controle e a rastreabilidade destas alterações Segundo a diretriz contida no item da Norma Complementar - IN01/DSIC/GSI/PR 7/2010, é importante que haja registros de eventos relevantes, previamente definidos (...), e assim entende-se pertinente que o gestor do negócio (CGSNT/DAE/SAS) defina todas as alterações relevantes no sistema, em especial aquelas que afetam a posição em lista, o status ou outra condição dos receptores no sistema, e que a área de TI (Datasus/SE) providencie o registro dessas alterações Ante a possibilidade de implementar controles dissuasivos no SIG, recomendaremos que sejam reavaliadas quais alterações realizadas no sistema devem ser apresentadas nas suas telas e relatórios e no prontuário on-line acessado pelo receptor por meio da internet, de maneira a torná-las transparentes aos diversos usuários Proposta de encaminhamento: 109. Determinar à Secretaria de Atenção à Saúde do Ministério da Saúde que, em atenção ao disposto no item da Norma Complementar - IN01/DSIC/GSI/PR 7/2010, defina todas as alterações relevantes no SIG, em especial aquelas que afetam a posição em lista, o status ou outra condição dos receptores no sistema, e adote medidas para que o sistema registre essas alterações, definindo, ainda, por quanto tempo o sistema manterá esses registros, observando as diretrizes contidas no item da Norma Técnica ABNT NBR ISO/IEC 27002: Recomendar à Secretaria de Atenção à Saúde do Ministério da Saúde que defina quais das alterações em informações do SIG/SNT, eventualmente realizadas, devem ser disponibilizadas nas telas e relatórios do sistema e no prontuário on-line acessado pelo receptor na internet, incluindo definições de quais perfis devem acessá-las, de maneira a torná-las transparentes aos diversos usuários Inexistência de Política de Controle de Acesso (PCA) ou documentos equivalentes.

18 Situação encontrada: 111. A Norma Técnica ABNT NBR ISO/IEC 27002:2005, em seu item , que trata sobre Política de Controle de Acesso (PCA), registra a conveniência de que tal política seja estabelecida e que a mesma expresse as regras de controle de acesso e direitos de cada usuário ou grupos de usuários Ainda de acordo com a referida norma, é pertinente que a PCA leve em consideração, dentre outros, os seguintes itens: 1) requisitos de segurança de aplicações de negócios individuais; 2) identificação de todas as informações relacionadas às aplicações de negócios e os riscos a que as informações estão expostas; 3) legislação pertinente e qualquer obrigação contratual relativa à proteção de acesso para dados ou serviços; 4) segregação de regras de controle de acesso, por exemplo, pedido de acesso, autorização de acesso, administração de acesso; 5) requisitos para autorização formal de pedidos de acesso; 6) requisitos para análise crítica periódica de controles de acesso; 7) remoção de direitos de acesso Assim, a política de controle de acesso deve conter as regras de controle de acesso e direitos para cada usuário ou grupos de usuários, e relacionar claramente os requisitos de negócio e os controles associados O Plenário do TCU já se posicionou com relação ao assunto, a exemplo dos Acórdãos 669/2008, 670/2008 e 906/2009 ocasiões em que deliberou no sentido de que os órgãos/entidades a que se destinaram os citados acórdãos, em consonância com as orientações do item da mencionada norma técnica, definissem uma política de controle de acesso institucional No âmbito da auditoria no SNT, a equipe de fiscalização solicitou, por meio do Ofício /2010, item a (peça 13, p. 8), a documentação da política e dos procedimentos que disciplinam o controle de acesso aos recursos do SIG Por meio do Ofício162/2010-GAB/Datasus/SE/MS (peça 10, p. 3), o Datasus respondeu que a política de controle de acesso seria a Portaria - MS 2.600/2009, que aprova o Regulamento Técnico do SNT Observa-se que a Portaria - MS 2.600/2009 contém algumas diretrizes relacionadas a acessos a dados específicos (por exemplo, o art. 19, 2 define que a atualização das informações do potencial receptor no cadastro técnico único é limitada às equipes especializadas e aos estabelecimentos autorizados para realização de transplante). Entretanto, tal regulamento não pode ser considerado uma política de controle de acesso, visto que não contém, por exemplo, as regras de controle de acesso e direitos de cada grupo de usuários Embora não informado na resposta do Datasus, algumas tabelas associando perfis de acesso com funcionalidades do sistema foram encontradas no documento de consenso do escopo do sistema (peça 27, p. 2-18). Entretanto, não foram encontradas evidências de que essas associações tenham sido estabelecidas e formalizadas em uma Política de Controle de Acessos (PCA) Um potencial efeito da falta da PCA, conjuntamente com a ausência da classificação da informação (desconformidade registrada no relatório do Acórdão 757/2011-TCU-Plenário), é o acesso indevido a informações reservadas, visto que os direitos de acesso aos dados não estão definidos e as informações não estão classificadas. Como exemplo, cita-se a permissão de alteração de informações clínicas de potenciais receptores, as quais se configuram em dados que concernem aos critérios de seleção usados para alocação do órgão doado. A manutenção e atualização desses dados, segundo o art. 19 da Portaria - MS 2.600/2009, são de responsabilidade da equipe especializada e, portanto, em tese, só poderiam ser alterados pelo perfil equipe do sistema SIG. Contudo, utilizando o ambiente de

19 homologação e os perfis concedidos à equipe de auditoria, foi possível evidenciar que os perfis central estadual e central podem alterar esses dados, conforme telas extraídas do sistema (peça 36, p. 5) Outro evento relativo à falta de PCA e à ausência de classificação da informação observado pela equipe de auditoria é o fato de haver usuários que não são médicos e que acessam dados clínicos de receptores e doadores (peça 34, p. 7-9) Registre-se que o item 2.6 da Norma Complementar - IN01/DSIC/GSI/PR 7/2010 considera que Os órgãos ou entidades da APF, em suas áreas de competência, estabelecem regras específicas para credenciamento de acesso de usuários aos ativos de informação em conformidade com a legislação vigente, e em especial quanto ao acesso às informações em áreas e instalações consideradas críticas Causas da ocorrência do achado: a) inexistência de política de segurança da informação (Acórdão 757/2011-TCU-Plenário); b) inexistência de classificação da informação (Acórdão 757/2011-TCU-Plenário) Efeitos/Consequências do achado: a) ausência de definição das regras de controle de acesso e direitos de cada usuário ou grupos de usuários (efeito real); b) acessos indevidos a informações sensíveis por usuário não autorizado (efeito potencial) Critérios: a) Acórdão 669/2008, item 9.4.6, Tribunal de Contas da União, Plenário; b) Acórdão 670/2008, item 9.2.9, Tribunal de Contas da União, Plenário; c) Acórdão 906/2009, item 9.3.2, Tribunal de Contas da União, Plenário; d) Instrução Normativa GSI/PR 1/2008, art. 5º, VII, in fine; e) Norma Complementar - IN01/DSIC/GSI/PR 7/2010, item 2.6; f) Norma Técnica ABNT NBR ISO/IEC 27002:2005 item Política de controle de acesso Evidências: a) Ofício 162/2010/GAB/Datasus/SE/MS (peça 10); b) telas do Sistema (peça 36); c) peça Conclusão da equipe: 122. Não foi elaborada ou formalizada a Política de Controle de Acesso (PCA) ou documentos equivalentes contendo procedimentos para controle de acessos, referente às informações e aos dados afetos ao Sistema Nacional de Transplantes. Tal lacuna, associada à ausência da classificação da informação, pode ocasionar o acesso indevido a informações reservadas Proposta de encaminhamento: 123. Determinar à Secretaria de Atenção à Saúde que, em atenção à Instrução Normativa GSI/PR 1/2008, art. 5º, VII, in fine, e à Norma Complementar - IN01/DSIC/GSI/PR 7/2010, item 2.6, defina uma Política de Controle de Acesso (PCA) contemplando os ativos de informação do Sistema Nacional de Transplantes, em especial o SIG, observando as diretrizes da Norma Complementar - IN01/DSIC/GSI/PR 7/2010, e ainda as orientações contidas no item da Norma Técnica ABNT NBR ISO/IEC 27002: Falhas nos procedimentos de gerenciamento de acesso dos usuários ao sistema Situação encontrada:

20 124. Com os objetivos de assegurar o acesso de usuário autorizado e prevenir o acesso não autorizado a sistemas de informação, a Norma Técnica ABNT NBR ISO/IEC 27002:2005, em seu item 11.2, recomenda que procedimentos formais sejam implementados para controlar a distribuição de direitos de acesso a sistemas de informação e serviços A norma recomenda que exista um procedimento formal de registro e cancelamento de usuários (item ), que a concessão e o uso de privilégios sejam restritos e controlados (item ), que a concessão de senhas seja controlada por meio de um processo de gerenciamento formal (item ) e que o gestor analise criticamente os direitos de acesso dos usuários em intervalos regulares (item ) Além disso, a Norma Complementar - IN01/DSIC/GSI/PR 7/2010, por meio de seu item 5.1, recomenda um conjunto de diretrizes para criação e administração de contas de usuários. Dentre essas diretrizes, cita-se que ao usuário que não exerce funções de administração deve ser disponibilizada somente uma única conta de acesso, pessoal e intransferível (item da norma). A equipe de auditoria solicitou, por meio do Ofício /2010, item a (peça 13, p. 8), a documentação da política e dos procedimentos que disciplinam o controle de acesso aos recursos do SIG Por meio do Ofício 162/2010-GAB/Datasus/SE/MS (peça 10, p. 3), o Datasus respondeu que os procedimentos que disciplinam o controle de acessos estariam na Portaria - MS 2.600/2009, que aprova o Regulamento Técnico do SNT Como já descrito no achado anterior, a Portaria - MS 2.600/2009 contém algumas diretrizes relacionadas com os acessos a dados específicos. Entretanto, tal regulamento não estabelece procedimentos de gerenciamento de acesso de usuários, como, por exemplo, procedimentos de registro e cancelamento de usuários e de concessão e uso de perfis de acesso do SIG Embora não informado pelo Datasus, algumas regras relacionadas com o cadastramento de usuários e com a concessão e uso de perfis de acesso do SIG foram encontradas no documento de consenso do escopo do sistema, no item que descreve as funcionalidades do módulo de cadastramento de usuário (peça 27, p ). Entretanto, não foram encontradas evidências de que essas regras tenham sido formalizadas como parte de procedimentos de gerenciamento de acessos de usuários do sistema Como consequência da ausência de definição e formalização de procedimentos de gerenciamento de acessos, a equipe de auditoria encontrou algumas falhas relacionadas com registro de usuários, concessão de perfis de acessos e análise crítica dos direitos de acesso de usuários, tais como: inexistência de assinatura de termo de responsabilidade/confidencialidade (peça 34, p. 7), uso compartilhado de usuário/senha (peça 34, p. 10), existência de diversas contas de usuários impessoais (peça 28) e existência de usuários acumulando perfis de acesso (peça 28, p. 2, p. 4, p. 6, p , p. 32, p ) Causas da ocorrência do achado: a) inexistência de controles Efeitos/Consequências do achado: a) acessos indevidos a informações restritas por usuário não autorizado (efeito potencial); b) impossibilidade de identificar e responsabilizar autores de acessos não autorizados (efeito potencial) Critérios: a) Norma Técnica ABNT NBR ISO/IEC 27002:2005 item 11.2 Gerenciamento de acesso do usuário; b) Norma Técnica Gabinete de Segurança Institucional Presidência da República Norma Complementar - IN01/DSIC/GSI/PR 7/2010.

Avaliação da Segurança da Informação no âmbito da APF

Avaliação da Segurança da Informação no âmbito da APF Avaliação da Segurança da Informação no âmbito da APF Pedro Coutinho Filho Sefti Brasília, 17 de maio de 2013 www.tcu.gov.br/fiscalizacaoti 2 da TI o Levantamento IGovTI o Objetivos Agenda o Principais

Leia mais

Segurança da informação

Segurança da informação Segurança da informação Roberta Ribeiro de Queiroz Martins, CISA Dezembro de 2007 Agenda Abordagens em auditoria de tecnologia da informação Auditoria de segurança da informação Critérios de auditoria

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO RESOLUÇÃO Nº 32/2014 Institui a política de segurança da informação da UFPB, normatiza procedimentos com esta finalidade e

Leia mais

Uso de TIC nas IFES Planejamento e Governança

Uso de TIC nas IFES Planejamento e Governança Uso de TIC nas IFES Planejamento e Governança IV Encontro do Forplad Daniel Moreira Guilhon, CISA Novembro/2012 1 O que pretendemos? Conceituar os aspectos relacionados à boa governança para assegurar

Leia mais

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC 1. Diretor da Secretaria de Tecnologia da Informação e Comunicação Coordenar

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

Sumários Executivos. Auditoria nos Sistemas de Informação do Diário Oficial da União

Sumários Executivos. Auditoria nos Sistemas de Informação do Diário Oficial da União Sumários Executivos Auditoria nos Sistemas de Informação do Diário Oficial da União República Federativa do Brasil Tribunal de Contas da União Ministros Ubiratan Aguiar, Presidente Benjamin Zymler, Vice-Presidente

Leia mais

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO 07/IN01/DSIC/GSIPR 00 06/MAI/10 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

Política da Segurança da Informação

Política da Segurança da Informação Política da Segurança da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA BM&FBOVESPA 1. INTRODUÇÃO A informação é um ativo que possui grande valor para a BM&FBOVESPA, devendo ser adequadamente utilizada

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

Auditoria Interna na Área de Tecnologia da Informação

Auditoria Interna na Área de Tecnologia da Informação Auditoria Interna na Área de Tecnologia da Informação André Luiz Furtado Pacheco, CISA 4º Workshop de Auditoria de TI da Caixa Brasília, agosto de 2011 Agenda Introdução Exemplos de Deliberações pelo TCU

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 16/IN01/DSIC/GSIPR 00 21/NOV/12 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA DESENVOLVIMENTO E OBTENÇÃO DE SOFTWARE

Leia mais

NORMA ESTRATÉGICA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI)

NORMA ESTRATÉGICA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI) NORMA ESTRATÉGICA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI) gestora do normativo Comitê de responsável pela conformidade Secretaria Geral - SEGER Coordenação de Processos e Conformidade - COPEC Numeração

Leia mais

Número do Recibo:83500042

Número do Recibo:83500042 1 de 21 06/06/2012 18:25 Número do Recibo:83500042 Data de Preenchimento do Questionário: 06/06/2012. Comitête Gestor de Informática do Judiciário - Recibo de Preenchimento do Questionário: GOVERNANÇA

Leia mais

ORIGEM Departamento de Segurança da Informação e Comunicações

ORIGEM Departamento de Segurança da Informação e Comunicações 07/IN01/DSIC/GSIPR 01 15/JUL/14 1/9 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

Profa. Gislaine Stachissini. Unidade III GOVERNANÇA DE TI

Profa. Gislaine Stachissini. Unidade III GOVERNANÇA DE TI Profa. Gislaine Stachissini Unidade III GOVERNANÇA DE TI Information Technology Infrastructure Library ITIL Criado pelo governo do Reino Unido, tem como objetivo a criação de um guia com as melhores práticas

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Segurança nas operações Responsabilidades e procedimentos operacionais Assegurar a operação segura e correta

Leia mais

Política de Segurança da informação e Comunicação

Política de Segurança da informação e Comunicação Política de Segurança da informação e Comunicação 2015-2017 HISTÓRICO DE REVISÕES Data Versão Descrição Autores 28/04/2015 1.0 Elementos textuais preliminares Jhordano e Joilson 05/05/2015 2.0 Elementos

Leia mais

igovti e Classificação da Informação

igovti e Classificação da Informação igovti e Classificação da Informação André Luiz Furtado Pacheco, CISA Secretaria de Fiscalização de TI/TCU Brasília, 2 de outubro de 2014 Agenda 1. igovti 2. Classificação da Informação 3. Conclusão 2

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO DEZEMBRO/2011 Rua do Rouxinol, N 115 / Salvador Bahia CEP: 41.720-052 Telefone: (71) 3186-0001. Email: cgti@listas.ifbaiano.edu.br Site: http://www.ifbaiano.edu.br

Leia mais

Governança de TI: O desafio atual da Administração Pública. André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011

Governança de TI: O desafio atual da Administração Pública. André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011 Governança de TI: O desafio atual da Administração Pública André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011 André Luiz Furtado Pacheco, CISA Graduado em Processamento de

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00103 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00103 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00103 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Auditoria de Segurança

Leia mais

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica.

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica. Classificação: RESOLUÇÃO Código: RP.2007.077 Data de Emissão: 01/08/2007 O DIRETOR PRESIDENTE da Companhia de Processamento de Dados do Estado da Bahia - PRODEB, no uso de suas atribuições e considerando

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Dispõe acerca de normas referentes à segurança da informação no âmbito da CILL Informática S/A. Goiânia-Go, novembro de 2015 Política de Segurança da Informação CILL

Leia mais

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências.

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. PORTARIA No- 192, DE 12 DE FEVEREIRO DE 2010 Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. O ADVOGADO-GERAL DA UNIÃO, no uso de suas atribuições

Leia mais

Política da Segurança da Tecnologia da Informação

Política da Segurança da Tecnologia da Informação Política da Segurança da Tecnologia da Informação INTRODUÇÃO A informação é um ativo que possui grande valor para a CREMER S/A, devendo ser adequadamente utilizada e protegida contra ameaças e riscos.

Leia mais

ACÓRDÃO Nº 1233/2012 TCU Plenário

ACÓRDÃO Nº 1233/2012 TCU Plenário ACÓRDÃO Nº 1233/2012 TCU Plenário 1. Processo nº TC 011.772/2010-7. 2. Grupo I Classe de Assunto V: Relatório de Auditoria 3. Interessados/Responsáveis: 3.1. Interessada: Secretaria de Fiscalização de

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições legais e regimentais,

A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições legais e regimentais, Dispõe sobre a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 11ª. Região. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições legais

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO 10/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Inventário e Mapeamento de Ativos de Informação nos

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DA UNIVERSIDADE FEDERAL DA GRANDE DOURADOS

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES DA UNIVERSIDADE FEDERAL DA GRANDE DOURADOS P á g i n a 1 / 13 MINISTÉRIO DA EDUCAÇÃO FUNDAÇÃO UNIVERSIDADE FEDERAL DA GRANDE DOURADOS COORDENADORIA DE DESENVOLVIMENTO DE TECNOLOGIA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

Leia mais

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov. TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008 Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.br 11 3104-0988 Este treinamento tem por objetivo capacitar os participantes para

Leia mais

Gestão de Incidentes de Segurança da Informação - Coleta de evidências

Gestão de Incidentes de Segurança da Informação - Coleta de evidências Gestão de Incidentes de Segurança da Informação - Coleta de evidências Incidente de SI Ação de Acompanhamento contra pessoa/organização Envolvendo ação legal (civil ou criminal) Evidências coletadas, armazenadas

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES CONSULTA PÚBLICA Nº 32, DE 19 DE JULHO DE 2012

AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES CONSULTA PÚBLICA Nº 32, DE 19 DE JULHO DE 2012 AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES CONSULTA PÚBLICA Nº 32, DE 19 DE JULHO DE 2012 Proposta de Política de Segurança da Informação e Comunicações da Anatel O CONSELHO DIRETOR DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES,

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. Institui a Política de Segurança da Informação e Comunicações POSIC, no âmbito do IPEA. O PRESIDENTE DO INSTITUTO DE

Leia mais

Cartilha do. de TI. - com ênfase na segurança das informações. Assessoria de Segurança da Informação e Governança de TI

Cartilha do. de TI. - com ênfase na segurança das informações. Assessoria de Segurança da Informação e Governança de TI Cartilha do gestor de solução de TI - com ênfase na segurança das informações Assessoria de Segurança da Informação e Governança de TI Apresentação O sucesso da atuação do Tribunal de Contas da União depende

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 232/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 232/2013 Aprova a Norma Complementar de Procedimentos para Inventariar Ativos de Tecnologia da Informação. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

Gerenciamento de Serviços de TI com base na ITIL

Gerenciamento de Serviços de TI com base na ITIL Gerenciamento de Serviços de TI com base na ITIL Information Technology Infrastructure Library ou Biblioteca de Infraestrutura da Tecnologia da Informação A TI de antes (ou simplesmente informática ),

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

Auditoria no Sistema Nacional de Integração de Informações em Justiça e Segurança Pública (Infoseg)

Auditoria no Sistema Nacional de Integração de Informações em Justiça e Segurança Pública (Infoseg) 1 Auditoria no Sistema Nacional de Integração de Informações em Justiça e Segurança Pública (Infoseg) Renato Braga, CISA Novembro de 2008 2 Objetivo Apresentar a auditoria realizada pelo TCU no sistema

Leia mais

SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013

SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013 SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013 Dispõe sobre a Política de Segurança da Informação e

Leia mais

GERENCIAMENTO CENTRALIZADO DELL POWERVAULT DL 2000 BASEADO EM TECNOLOGIA SYMANTEC

GERENCIAMENTO CENTRALIZADO DELL POWERVAULT DL 2000 BASEADO EM TECNOLOGIA SYMANTEC GERENCIAMENTO CENTRALIZADO DELL POWERVAULT DL 2000 BASEADO EM TECNOLOGIA SYMANTEC RESUMO EXECUTIVO O PowerVault DL2000, baseado na tecnologia Symantec Backup Exec, oferece a única solução de backup em

Leia mais

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE RORAIMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES POSIC 1. OBJETIVO Fornecer diretrizes, responsabilidades, competências e apoio da alta

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

TRIBUNAL SUPERIOR DO TRABALHO PRESIDÊNCIA ATO Nº 345/SETIN.SEGP.GP, DE 16 DE JUNHO DE 2015

TRIBUNAL SUPERIOR DO TRABALHO PRESIDÊNCIA ATO Nº 345/SETIN.SEGP.GP, DE 16 DE JUNHO DE 2015 TRIBUNAL SUPERIOR DO TRABALHO PRESIDÊNCIA ATO Nº 345/SETIN.SEGP.GP, DE 16 DE JUNHO DE 2015 Reestrutura as unidades vinculadas à Secretaria de Tecnologia da Informação SETIN do Tribunal Superior do Trabalho.

Leia mais

PRESIDÊNCIA DA REPÚBLICA CONTROLADORIA-GERAL DA UNIÃO SECRETARIA FEDERAL DE CONTROLE INTERNO

PRESIDÊNCIA DA REPÚBLICA CONTROLADORIA-GERAL DA UNIÃO SECRETARIA FEDERAL DE CONTROLE INTERNO PRESIDÊNCIA DA REPÚBLICA CONTROLADORIA-GERAL DA UNIÃO SECRETARIA FEDERAL DE CONTROLE INTERNO TOMADA DE CONTAS ANUAL AGREGADA TIPO DE AUDITORIA : AUDITORIA DE GESTÃO EXERCÍCIO : 2007 PROCESSO Nº : 71000.010766/2007-25

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO IFSUL

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO IFSUL POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO IFSUL 1 OBJETIVO A Política de Segurança da Informação do Instituto Federal Sul-rio-grandense estabelece as diretrizes para a segurança da informação, visando preservar

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 Dispõe sobre a aprovação do Documento Acessório Comum Política de Gestão de Riscos,

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. 13/IN01/DSIC/GSIPR 00 30/JAN/12 1/5 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA GESTÃO DE MUDANÇAS NOS ASPECTOS RELATIVOS

Leia mais

PORTARIA Nº 7.596, DE 11 DE DEZEMBRO DE 2014.

PORTARIA Nº 7.596, DE 11 DE DEZEMBRO DE 2014. PORTARIA Nº 7.596, DE 11 DE DEZEMBRO DE 2014. Regulamenta as atribuições e responsabilidades da Secretaria de Tecnologia da Informação e Comunicações do Tribunal Regional do Trabalho da 4ª Região e dá

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

RESOLUÇÃO CFM Nº 1.638, DE 10 DE JULHO DE 2002

RESOLUÇÃO CFM Nº 1.638, DE 10 DE JULHO DE 2002 CONSELHO FEDERAL DE MEDICINA RESOLUÇÃO CFM Nº 1.638, DE 10 DE JULHO DE 2002 Define prontuário médico e torna obrigatória a criação da Comissão de Revisão de Prontuários nas instituições de saúde. O CONSELHO

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

Governança de TI e Auditoria Interna

Governança de TI e Auditoria Interna Governança de TI e Auditoria Interna Renato Braga, CISA, CIA, CGAP, CCI Diretor Secretaria de Fiscalização de Tecnologia da Informação Tribunal de Contas da União Florianópolis, 25 de abril de 2012 Agenda

Leia mais

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Guilherme Soares de Carvalho guilherme.soares-carvalho@serpro.gov.br Serviço Federal de Processamento de Dados SGAN 601 - Módulo

Leia mais

INSTRUÇÃO NORMATIVA - TCU Nº 63, DE 1º DE SETEMBRO DE 2010

INSTRUÇÃO NORMATIVA - TCU Nº 63, DE 1º DE SETEMBRO DE 2010 INSTRUÇÃO NORMATIVA - TCU Nº 63, DE 1º DE SETEMBRO DE 2010 Estabelece normas de organização e de apresentação dos relatórios de gestão e das peças complementares que constituirão os processos de contas

Leia mais

Gestão e Uso da TI na APF

Gestão e Uso da TI na APF Gestão e Uso da TI na APF Renato Braga, CISA, CIA, CGAP, CCI Brasília, 05 de novembro de 2012 1 Feliz aquele que transfere o que sabe e aprende o que ensina Cora Coralina, poeta goiana. 2 Objetivo Apresentar

Leia mais

POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES

POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES MINISTÉRIO DA INTEGRAÇÃO NACIONAL POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DAS COMUNICAÇÕES PRINCÍPIOS E DIRETRIZES JUNHO, 2013. Sumário 1. POLÍTICA DE GESTÃO DE RISCOS DE SEGURANÇA DA

Leia mais

TRIBUNAL SUPERIOR DO TRABALHO SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO ORDEM DE SERVIÇO Nº 1/SETIN, DE 30 DE SETEMBRO DE 2010

TRIBUNAL SUPERIOR DO TRABALHO SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO ORDEM DE SERVIÇO Nº 1/SETIN, DE 30 DE SETEMBRO DE 2010 TRIBUNAL SUPERIOR DO TRABALHO SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO ORDEM DE SERVIÇO Nº 1/SETIN, DE 30 DE SETEMBRO DE 2010 O SECRETÁRIO DE TECNOLOGIA DA INFORMAÇÃO DO TRIBUNAL SUPERIOR DO TRABALHO, no

Leia mais

José Geraldo Loureiro Rodrigues Orientador: João Souza Neto

José Geraldo Loureiro Rodrigues Orientador: João Souza Neto José Geraldo Loureiro Rodrigues Orientador: João Souza Neto Análise dos três níveis: Governança Corporativa Governança de TI Gerenciamento da Área de TI ORGANIZAÇÃO Governança Corporativa Governança

Leia mais

TERMO DE REFERÊNCIA TÍTULO: Termo de Referência para contratação de ferramenta case de AD. GECOQ Gerência de Controle e Qualidade 1/9

TERMO DE REFERÊNCIA TÍTULO: Termo de Referência para contratação de ferramenta case de AD. GECOQ Gerência de Controle e Qualidade 1/9 TÍTULO: ASSUNTO: GESTOR: TERMO DE REFERÊNCIA Termo de Referência para contratação de ferramenta case de AD DITEC/GECOQ Gerência de Controle e Qualidade ELABORAÇÃO: PERÍODO: GECOQ Gerência de Controle e

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. 06/IN01/DSIC/GSIPR 01 11/NOV/09 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações GESTÃO DE CONTINUIDADE DE NEGÓCIOS EM SEGURANÇA DA

Leia mais

PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Dispõe sobre a criação do Plano de Contingência e Política de Segurança da Informação e Comunicações do Instituto Federal Farroupilha

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação Código: PSI_1.0 Versão: 1.0 Data de Publicação: 28/05/2014 Controle de Versão Versão Data Responsável Motivo da Versão 1.0 28/05/2014 Heitor Gouveia Criação da Política

Leia mais

MINISTÉRIO DA FAZENDA

MINISTÉRIO DA FAZENDA MINISTÉRIO DA FAZENDA Procuradoria-Geral da Fazenda Nacional PGFN Departamento de Gestão Corporativa - DGC Coordenação-Geral de Tecnologia da Informação - CTI CATÁLOGO DE SERVIÇOS DE TECNOLOGIA Infraestrutura

Leia mais

Capítulo XIII SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO

Capítulo XIII SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO Capítulo XIII SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO FINALIDADE A Secretaria de Tecnologia da Informação e Comunicação, órgão de direção especializada, subordinada ao diretor-geral da Secretaria

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Aquisição, desenvolvimento e manutenção de sistemas de informação O desenvolvimento de um SI Ciclo de desenvolvimento

Leia mais

Conceitos Básicos e Implementação. Entrega de Serviços. Professor Gledson Pompeu (gledson.pompeu@gmail.com)

Conceitos Básicos e Implementação. Entrega de Serviços. Professor Gledson Pompeu (gledson.pompeu@gmail.com) Conceitos Básicos e Implementação Pref. Mun. Vitória 2007 Analista de Suporte 120 A ITIL (information technology infrastructure library) visa documentar as melhores práticas na gerência, no suporte e na

Leia mais

ivirtua Solutions 4 ITIL

ivirtua Solutions 4 ITIL ivirtua Solutions 4 ITIL ivirtua Solutions ITIL WHITEPAPER ITIL INTRODUÇÃO O ITIL é o modelo de referência para endereçar estruturas de processos e procedimentos à gestão de TI, organizado em disciplinas

Leia mais

Instituto Federal de Educação, Ciência e Tecnologia do Rio Grande do Sul - Reitoria. Regimento da

Instituto Federal de Educação, Ciência e Tecnologia do Rio Grande do Sul - Reitoria. Regimento da Regimento da Comissão de Segurança da Informação e Comunicações do IFRS - CSIC/IFRS - Aprovado pela Resolução do Consup nº 114, de 18/12/2012 Reitora Cláudia Schiedeck Soares de Souza Pró-Reitor de Administração

Leia mais

Questões Comentadas ISO 27001

Questões Comentadas ISO 27001 2012 Questões Comentadas ISO 27001 LhugoJr Versão 1.0 05/12/2012 Introduça o Vale ressaltar que alguns comentários sobre as questões foram retiradas das seguintes fontes: TECNOLOGIA DA INFORMAÇÃO - QUESTÕES

Leia mais

Encontro com o mercado privado de TI Contratações Públicas de TI Sistemas Integrados de Gestão das Empresas Estatais

Encontro com o mercado privado de TI Contratações Públicas de TI Sistemas Integrados de Gestão das Empresas Estatais Encontro com o mercado privado de TI Contratações Públicas de TI Sistemas Integrados de Gestão das Empresas Estatais Wesley Vaz, MSc., CISA Sefti/TCU Brasília, 6 de novembro de 2012 Sistemas Integrados

Leia mais

ABNT NBR ISO 9001:2008

ABNT NBR ISO 9001:2008 ABNT NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema de

Leia mais

PODER JUDICIÁRIO TRIBUNAL DE JUSTIÇA DO ESTADO DO AMAZONAS DIVISÃO DE GESTÃO DA QUALIDADE

PODER JUDICIÁRIO TRIBUNAL DE JUSTIÇA DO ESTADO DO AMAZONAS DIVISÃO DE GESTÃO DA QUALIDADE PODER JUDICIÁRIO TRIBUNAL DE JUSTIÇA DO ESTADO DO AMAZONAS DIVISÃO DE GESTÃO DA QUALIDADE Sistema de Gestão da Qualidade PROCEDIMENTO P. TJAM 56 PROJUDI Revisado por: Breno Figueiredo Corado DVTIC/PROJUDI

Leia mais

PR 29/07/2013. Instrução Normativa Nº 24/2013

PR 29/07/2013. Instrução Normativa Nº 24/2013 SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DO DESENVOLVIMENTO, INDÚSTRIA E COMÉRCIO EXTERIOR INSTITUTO NACIONAL DA PROPRIEDADE INDUSTRIAL PR 29/07/2013 Instrução Normativa Nº 24/2013 Assunto: Institui a Política

Leia mais

Governança de Tecnologia da Informação e Contas Públicas

Governança de Tecnologia da Informação e Contas Públicas 1 Governança de Tecnologia da Informação e Contas Públicas Renato Braga, CISA Tribunal Regional Eleitoral da Paraíba Junho de 2009 2 Objetivo Apresentar como a governança de tecnologia da informação se

Leia mais

RESOLUÇÃO Nº 506, DE 28 DE JUNHO DE 2013

RESOLUÇÃO Nº 506, DE 28 DE JUNHO DE 2013 Publicada no DJE/STF, n. 127, p. 1-3 em 3/7/2013. RESOLUÇÃO Nº 506, DE 28 DE JUNHO DE 2013 Dispõe sobre a Governança Corporativa de Tecnologia da Informação no âmbito do Supremo Tribunal Federal e dá outras

Leia mais

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014.

PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. Altera a Portaria nº 4.772/2008, a qual instituiu a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 4ª Região. A PRESIDENTE

Leia mais

Auditoria de Governança e Terceirização de TI

Auditoria de Governança e Terceirização de TI 1 Auditoria de Governança e Terceirização de TI Renato Braga, CISA VI CNASI Brasília Junho de 2008 2 Questão preliminar: o que é a Sefti? 3 Criação da Sefti Em agosto de 2006 (Resolução TCU n.º 193/2006)

Leia mais

Contratação de Serviços de TI. Ministro-Substituto Augusto Sherman Cavalcanti

Contratação de Serviços de TI. Ministro-Substituto Augusto Sherman Cavalcanti Contratação de Serviços de TI Ministro-Substituto Augusto Sherman Cavalcanti O antigo modelo de contratação de serviços de TI 2 O Modelo antigo de contratação de serviços de TI Consiste na reunião de todos

Leia mais

PRESIDÊNCIA DA REPÚBLICA CONTROLADORIAGERAL DA UNIÃO SECRETARIA FEDERAL DE CONTROLE INTERNO RELATÓRIO DE AUDITORIA ANUAL DE CONTAS

PRESIDÊNCIA DA REPÚBLICA CONTROLADORIAGERAL DA UNIÃO SECRETARIA FEDERAL DE CONTROLE INTERNO RELATÓRIO DE AUDITORIA ANUAL DE CONTAS 1 de 6 PRESIDÊNCIA DA REPÚBLICA CONTROLADORIAGERAL DA UNIÃO SECRETARIA FEDERAL DE CONTROLE INTERNO RELATÓRIO DE AUDITORIA ANUAL DE CONTAS TIPO DE AUDITORIA : AUDITORIA DE GESTÃO EXERCÍCIO : 2010 PROCESSO

Leia mais

Sistemas informatizados para a guarda do prontuário médico - Resolução: 1639 de 10/7/2002

Sistemas informatizados para a guarda do prontuário médico - Resolução: 1639 de 10/7/2002 Sistemas informatizados para a guarda do prontuário médico - Resolução: 1639 de 10/7/2002 Ementa: Aprova as "Normas Técnicas para o Uso de Sistemas Informatizados para a Guarda e Manuseio do Prontuário

Leia mais

MATERIAL DE APOIO PROFESSOR

MATERIAL DE APOIO PROFESSOR MATERIAL DE APOIO PROFESSOR Conceitos Básicos e Implementação Dataprev 2006 Analista de Banco de Dados 106 A aplicação de gerenciamento de níveis de serviço, por si só, garante a oferta de bons serviços.

Leia mais

Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos

Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos Referência: An Introductory Overview of ITIL v2 Livros ITIL v2 Cenário de TI nas organizações Aumento da dependência da TI para alcance

Leia mais

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ CONSELHO UNIVERSITÁRIO RESOLUÇÃO N. 727, DE 17 DE DEZEMBRO DE 2014 R E S O L U Ç ÃO:

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ CONSELHO UNIVERSITÁRIO RESOLUÇÃO N. 727, DE 17 DE DEZEMBRO DE 2014 R E S O L U Ç ÃO: SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DO PARÁ CONSELHO UNIVERSITÁRIO RESOLUÇÃO N. 727, DE 17 DE DEZEMBRO DE 2014 Institui a Política de Segurança da Informação e Comunicações da Universidade Federal

Leia mais

RELATÓRIO [...] TRIBUNAL DE CONTAS DA UNIÃO TC 015.570/2011-8

RELATÓRIO [...] TRIBUNAL DE CONTAS DA UNIÃO TC 015.570/2011-8 GRUPO I CLASSE V Plenário TC 015.570/2011-8. Natureza: Relatório de Auditoria. Entidades: Centrais Elétricas do Norte S/A (Eletronorte), Centrais Elétricas Brasileiras S/A (Eletrobras), Casa da Moeda do

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DATA: 25/01/2016 VERSÃO 2.0 VERSÃO 2 25/01/2016 ÁLVARO BARBOSA SUMÁRIO I. INTRODUÇÃO... 3 II. PAPÉIS E RESPONSABILIDADES... 4 II.1 - COMITÊ EXECUTIVO... 4 II.2 - CONTROLES

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais