Proposta de Cenário para aplicação da norma NBR ISO/IEC em Auditorias Governamentais do Sistema de Controle Interno

Tamanho: px
Começar a partir da página:

Download "Proposta de Cenário para aplicação da norma NBR ISO/IEC 27002 em Auditorias Governamentais do Sistema de Controle Interno"

Transcrição

1 Henrique Aparecido da Rocha Proposta de Cenário para aplicação da norma NBR ISO/IEC em Auditorias Governamentais do Sistema de Controle Interno Brasília dezembro de 2008

2 Henrique Aparecido da Rocha Proposta de Cenário para aplicação da norma NBR ISO/IEC em Auditorias Governamentais do Sistema de Controle Interno Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília como requisito parcial para a obtenção do título de Especialista em Ciência da Computação: Gestão da Segurança da Informação e Comunicações Orientador: Prof. Dr. Edgard Costa Oliveira Universidade de Brasília UnB Departamento de Ciência da Computação Brasília dezembro de 2008

3 i Monografia de Especialização defendida sob o título Proposta de Cenário para aplicação da norma NBR ISO/IEC em Auditorias Governamentais do Sistema de Controle Interno, defendida por Henrique Aparecido da Rocha e aprovada em 10 de dezembro de 2008 em Brasília - DF, pela banca examinadora constituída pelos professores e pesquisadores: Prof. Dr. Edgard Costa Oliveira Orientador Prof. Dr. José Carlos Loureiro Ralha Universidade de Brasília Prof. Dr. Jorge H. C. Fernandes Universidade de Brasília

4 ii Dedicatória À pequena Yasmin, presente de Deus.

5 iii Agradecimentos À Deus, pela oportunidade de vibrar com mais esta conquista. Ao Prof. Edgard, pela disposição em direcionar este trabalho. À Coordenação, que assumiu o compromisso de conduzir essa 1ª turma e o fez de forma extremamente competente. Ao Gabinete de Segurança Institucional, pelas iniciativas como esta que fomentam a cultura de segurança da informação na APF. À Controladoria-Geral da União, pela consideração com que me distinguiu para participar deste projeto. Aos colegas de curso, que criaram um ambiente propício para a aprendizagem coletiva e a troca de experiências. À minha família, pelo apoio e compreensão.

6 iv Resumo As iniciativas em Segurança da Informação têm se destacado nos últimos anos em virtude de fatores que incluem o poder conquistado pela informação nos processos de negócio atuais, a grande exposição dessas informações propiciada pelo desenvolvimento tecnológico e o conseqüente aumento dos registros de incidentes de segurança. Entretanto, a Administração Pública Federal (APF) ainda não absorveu totalmente essa cultura de segurança e não protege adequadamente as suas informações de valor. De outro lado, o Sistema de Controle Interno tem a incumbência de assessorar os gestores públicos na implementação dos controles internos responsáveis por garantir que sejam alcançados os objetivos das instituições. E nesse contexto, a segurança da informação pode ajudar. O foco desta monografia é especificar meios de disseminar a cultura de segurança da informação entre os órgãos da APF e apoiá-los a implementar os controles adequados para esse fim. A solução proposta consiste na incorporação de procedimentos de verificação, baseados em normas de segurança da informação amplamente utilizadas, no processo de auditoria do Sistema de Controle Interno. A idéia é utilizar a estrutura já existente de auditorias periódicas como suporte também para conscientizar e orientar os órgãos da importância da segurança da informação para suas missões. As principais contribuições desta monografia são: (1) Descrever o processo de auditoria empregado pelo Sistema de Controle Interno do Governo Federal; (2) Descrever a norma NBR ISO/IEC que apresenta código de prática para a gestão da segurança da informação; e (3) Propor cenário de aplicação da norma NBR ISO/IEC no processo de auditoria do Sistema de Controle Interno do Governo Federal. Palavras-Chave Controle Interno, Cultura de Segurança, Procedimentos de Auditoria

7 v Abstract Initiatives on Information Security have been highlighted in recent years due to factors that include the importance acquired by information in the light of modern business processes, the vast exposure of the information provided by the development of new technologies and the consequent growth of reported information security incidents. However, the Federal Public Administration (FPA) has not yet fully absorbed the culture of information security and thus, does not adequately protect its important information. Yet in this context, the Internal Control System of the Federal Government has the duty of advising the public managers on the implementation of internal procedures that ensure the institutions needs they represent are achieved. As will be discussed, information security can play an important role in this process. The goal of this monograph is to specify ways to disseminate the culture of information security among FPA departments and to support them on the task of implementing the appropriate controls for that purpose. The solution to be proposed includes the incorporation of verification procedures, especially those based on widely used information security standards, in the audit process of the Internal Control System. The idea is to make use of the existing periodic audit structure as a mean of bringing the institutions orientation and awareness about the importance of information security on their missions. The main contributions of this monograph are: (1) To describe the audit process employed by the Internal Control System, (2) To describe the standard NBR ISO/IEC which presents a code of practice for information security management, and (3) To propose an implementation scenario for the NBR ISO/IEC in the context of the Internal Control System audit process. Keywords Internal Control, Culture of Information Security, Auditing Procedures

8 vi Sumário Resumo p. iv Abstract p. v Lista de Tabelas p. ix Lista de Figuras p. x 1 Introdução p. 1 2 Requisitos Pré-pesquisa p Objetivos p Objetivo geral p Objetivos específicos p Justificativa p Metodologia p Caracterização da pesquisa p. 5 3 Revisão de Literatura e Fundamentos p O Controle na Administração Pública p A função Controle p Classificação p Controle Interno p Sistema de Controle Interno p Finalidades p. 10

9 Sumário vii Controladoria-Geral da União p Fundamentação Legal p Gestão da Segurança da Informação p Informação p Classificação das Informações p Segurança da Informação p Segurança da Informação na Administração Pública Federal... p Trabalhos Correlatos p Resumo p Auditoria Governamental no Sistema de Controle Interno p Ações de Controle p Planejamento das Ações de Controle p Hierarquizar Programas p Detalhar Ações p Identificar pontos críticos p Elaborar Plano Operacional p Execução das Ações de Controle p Auditoria p Classificação p Formas de Execução p Procedimentos e técnicas p Fiscalização p Resumo p A norma NBR ISO/IEC p Histórico p. 31

10 Sumário viii 5.2 Estrutura da Norma p Requisitos de Segurança da Informação p Controles de Segurança da Informação p Resumo p Cenário de aplicação da norma NBR ISO/IEC p Cenário p Complementando os Procedimentos de Auditoria p Aplicação do cenário proposto em um caso real p Resumo p Conclusões e Extensões p Contribuições p Extensões p. 46 Referências p. 48

11 ix Lista de Tabelas 1 Categorias de controles da norma NBR ISO/IEC p Comparativo entre um procedimento de auditoria e um objetivo de controle da norma NBR ISO/IEC p Síntese de procedimento de auditoria recomendado pelo Manual de Controle Interno para gestão patrimonial (CORREIA; SPINELLI, 2007)..... p Controles recomendados pela norma NBR ISO/IEC para gestão de ativos (ANBT, 2007) p Controle de inventário de ativos proposto pela norma NBR ISO/IEC (ANBT, 2007) p. 44

12 x Lista de Figuras 1 Principais deficiências de Segurança da Informação na Administração Pública Federal (TCU, 2008) p Etapas de uma ação de controle p Cenário de utilização da norma NBR ISO/IEC nas ações de controle p. 39

13 1 1 Introdução Em 2005, um estagiário de 18 anos que trabalhava no INSS conseguiu fraudar o sistema de benefícios da Previdência Social desviando um montante de R$ 3 milhões em 2 anos. O estagiário creditava valores em conta das avós, que eram sacados com procurações falsas, acessando o sistema com a senha da chefe do posto em que trabalhava (IstoÉ Dinheiro, 2005). Esse fato dá a dimensão dos riscos a que a Administração Pública Federal (APF) e a sociedade estão submetidas atualmente. Um número crescente de Sistemas de Informação e inovações tecnológicas tem sido introduzido nos processos e fluxos informacionais da APF. Visam aumentar a eficiência e o grau de execução dos objetivos e metas dos órgãos de governo. De outro lado também introduzem pontos de risco para a integridade das informações e vulnerabilidades ao processo de comunicação e preservação dos ativos das instituições. Para garantir a execução das metas e objetivos de forma íntegra, as organizações devem não somente investir em tecnologia e aprimoramento do fluxo de informações, mas também em segurança. Basicamente através da implementação de controles adequados à função de proteger as informações que transitam em seus processos. A APF conta com um Sistema de Controle Interno (SCI) que é responsável pela verificação da eficiência e eficácia dos sistemas de gestão e dos controles adotados nos órgãos do Poder Executivo Federal. A Controladoria-Geral da União (CGU) como seu órgão central tem a incumbência de orientar e supervisionar tecnicamente os órgãos e unidades que compõem o Sistema. Com os controles internos dessas organizações se preparando para serem mais efetivos também na gestão de segurança da informação, convém que as auditorias governamentais empreendidas pelo SCI incluam também a verificação de controles conforme as normas amplamente utilizadas na área. Várias normas sobre segurança da informação estão disponíveis para serem aplicadas dentre as quais a NBR ISO/IEC que apresenta um conjunto de controles que podem ser implementados em uma organização.

14 1 Introdução 2 O restante desta monografia está organizado da seguinte maneira: o capítulo 2 descreve os objetivos desta pesquisa e apresenta os aspectos metodológicos de produção deste trabalho; o capítulo 3 apresenta os conceitos básicos necessários para entendimento do texto, englobando os conceitos de controle e de segurança da informação; o capítulo 4 detalha os processos de verificação executados pelos órgãos de controle; o capítulo 5 apresenta o conteúdo da norma NBR ISO/IEC utilizada como insumo deste trabalho; o capítulo 6 apresenta o cenário proposto de inserção da norma no processo de auditoria dos órgãos de controle visando complementá-lo com os conceitos de segurança da informação; e, por fim, o capítulo 7 apresenta as conclusões desta pesquisa e relaciona um conjunto de trabalhos futuros que podem ser derivados desta monografia.

15 3 2 Requisitos Pré-pesquisa Este capítulo apresenta os requisitos desta pesquisa e está dividido da seguinte maneira: a seção 2.1 apresenta os objetivos, geral e específicos, pretendidos desta pesquisa; a seção 2.2 apresenta a justificativa de se estudar o tema proposto; e por fim, a seção 2.3 descreve a metodologia utilizada neste trabalho. 2.1 Objetivos Objetivo geral Esta pesquisa se concentra em propor melhoria no Sistema de Controle Interno (SCI) com a incorporação de procedimentos de verificação da segurança da informação. O objetivo é empregar a norma NBR ISO/IEC para agregar segurança da informação aos processos de auditoria governamental. Dessa forma o SCI reunirá as condições para colaborar de forma mais efetiva na disseminação da cultura de segurança da informação entre os órgãos da APF. Por meio de seus trabalhos de auditoria, o SCI poderá acompanhar e orientar os demais órgãos a implementar controles adequados de proteção das informações Objetivos específicos Os objetivos específicos deste trabalho são: 1. Descrever o processo de auditoria empregado pelo Sistema de Controle Interno do Governo Federal; 2. Descrever a norma NBR ISO/IEC que apresenta código de prática para a gestão da segurança da informação;

16 2.2 Justificativa 4 3. Propor cenário de aplicação da norma NBR ISO/IEC no processo de auditoria do Sistema de Controle Interno do Governo Federal. 2.2 Justificativa A segurança da informação apesar de disciplina relativamente nova, tomou um espaço importante na agenda das organizações em geral. Seja em função do aumento da dependência delas em relação à tecnologia, seja pelo receio dos prejuízos advindos de sua má utilização. Entretanto na Administração Pública Federal (APF), a segurança da informação ainda não é tratada com a devida importância. Com exceção de alguns órgãos, especialmente aqueles que fornecem majoritariamente serviços de tecnologia da informação (como SER- PRO e DATAPREV), a maioria ainda está mais preocupada em utilizar seu orçamento disponível com os programas de governo do que despender recursos com iniciativas de segurança. Isso implica em grande risco para sociedade em geral, destinatária das ações de governo, vez que a execução de programas de governo deve estar acompanhada de ações que garantam sua integridade e efetividade. Colaborando com esse cenário, constata-se ainda a escassez de bons profissionais de segurança atuando no setor público. O currículo médio dos profissionais ainda não abrange com profundidade a área de segurança da informação. A preocupação com segurança não é prioritária na maioria das vezes, com reflexo na baixa carga horária destinada a treinamento sobre o assunto. Isso dificulta bastante a adoção de mecanismos de segurança pelos órgãos, elevando o nível de risco de quebras de integridade dos processos que lidam com informação. Os órgãos de governo responsáveis pelo controle devem estar atentos a essas dicotomias entre o avanço tecnológico e a proteção da integridade dos sistemas de gestão. É dever desses órgãos assessorar os dirigentes nas atividades de implantação de controles que garantam a eficiência e integridade da gestão. Nesse contexto, as recomendações dos órgãos de controle elaboradas a partir de suas auditorias devem estar em linha com as boas práticas da área. Devem acompanhar as recomendações já existentes e atestadas pelo mercado. Justifica-se assim a necessidade de se alinhar os procedimentos adotados nas auditorias com as normas que explicitam as boas práticas em segurança da informação. Essa integração entre as normas em segurança da informação e os procedimentos de auditoria pode ajudar a subsidiar o controle interno

17 2.3 Metodologia 5 da APF com as técnicas mais modernas, o que é fator crítico de sucesso em um ambiente que sofre mudanças com grande freqüência. Além disso, a verificação das competências dos órgãos de controle pode auxiliar na reformulação dos normativos, que hoje não contemplam explicitamente o conceito de segurança da informação, para reafirmar a posição do Controle como órgão fomentador das atividades de segurança. 2.3 Metodologia Caracterização da pesquisa A metodologia utilizada neste trabalho é classificada como pesquisa qualitativa e exploratória. Tem como objetivo proporcionar maior familiaridade com o problema, com vistas a torná-lo mais explícito (GIL, 1999; SANTOS, 2004). Este trabalho tratou de explorar o processo de auditoria governamental com o objetivo de identificar pontos onde as norma de segurança da informação podem atuar de forma complementar. Esta pesquisa dividiu-se em três etapas. A primeira mapeou e descreveu o processo de auditoria governamental empregado pelo Sistema de Controle Interno (SCI). O método utilizado nessa etapa foi a pesquisa bibliográfica aos normativos legais que regulam a atuação do SCI e aos manuais de auditoria da Controladoria-Geral da União (CGU). Foram detalhadas as etapas do processo de auditoria, seus produtos decorrentes e as formas de execução dos procedimentos de verificação. O processo de auditoria foi sistematizado a partir do estudo das normas que o regulam e desenhado para evidenciar os fluxos de informação entre suas etapas. A segunda etapa detalhou a norma NBR ISO/IEC que trata de código de prática para a gestão da segurança da informação. O método utilizado foi também a pesquisa bibliográfica, agora ao texto da norma e a outras referências sobre a evolução da norma. Foram descritos a aplicação da norma, os objetivos de controle e a diretrizes de implementação dos controles da norma. A terceira etapa identificou oportunidades de inserção de conceitos de segurnaça da informação no processo de auditoria do SCI. Por meio da análise dos produtos elaborados nas etapas anteriores, desenhou-se um cenário de complementação do processo de auditoria com os controles da norma NBR ISO/IEC O cenário identifica os momentos do processo de auditoria em que a norma pode ser agregada e também quais elementos da norma podem contribuir de forma mais efetiva. Nessa etapa houve a necessidade

18 2.3 Metodologia 6 de pesquisa documental a procedimentos de auditoria utilizados pela CGU e também a relatórios de auditoria. A análise crítica desse material subsidiou a elaboração de exemplos de procedimento de auditoria complementado com controles da norma e de aplicação do cenário proposto a um caso real de auditoria.

19 7 3 Revisão de Literatura e Fundamentos Este capítulo apresenta os conceitos básicos para a compreensão desta monografia e relaciona um conjunto de trabalhos correlatos ao tema em pesquisa. O capítulo está dividido da seguinte forma: a seção 3.1 desenvolve o conceito de controle e como essa atividade é desempenhada no Governo Federal; a seção 3.2 apresenta os conceitos de segurança da informação e um panorama do seu estágio de implementação nos órgãos do Governo; por fim, a seção 3.3 relaciona alguns trabalhos correlatos ao assunto desenvolvido nesta monografia. 3.1 O Controle na Administração Pública A função Controle Segundo De Plácido e Silva (2006) o vocábulo controle, derivado do francês contrôler (registrar, inspecionar, examinar) ou do italiano controllo (registro, exame), era utilizado para expressar técnica comercial de inspeção ou exame, que se processava nos papéis ou nas operações, registradas a cada instante, nos estabelecimentos comerciais. Entretanto, para melhor entender e situar a importância da função de controle, tornase necessário esclarecer os fundamentos que orientam a atividade de administração. A administração de uma entidade deve estar estruturada e organizada de acordo com princípios científicos aplicáveis às funções básicas que a compõem, para melhor realizar os seus planos e alcançar os objetivos que constituem a razão da sua existência. Segundo a teoria, a administração deve atender, particularmente, aos princípios de planejamento, organização, direção e controle (CHIAVENATO, 2001; TAYLOR, 1995; FAYOL, 1994). O controle constitui, portanto um dos princípios basilares da administração. É a função administrativa que monitora e avalia as atividades e resultados alcançados para assegurar que o planejamento, a organização e a direção sejam bem-sucedidas.

20 3.1 O Controle na Administração Pública 8 Por meio da função de controle as demais funções recebem informações de retroalimentação para aumentar a probabilidade de que os resultados planejados sejam atingidos da melhor maneira Classificação Existem várias formas de classificar a função de controle. As mais importantes estão listadas abaixo: 1. Quanto ao sujeito: Estatal ou social; 2. Quanto ao órgão: Administrativo, Legislativo ou Judiciário; 3. Quanto ao momento: Prévio, concomitante ou posterior; 4. Quanto à localização: Interno ou externo; No âmbito governamental, o Controle Interno é o controle exercido diretamente pelos órgãos que praticam os atos administrativos e por órgãos específicos de cada poder enquanto Controle Externo é controle exercido pelo poder legislativo com auxílio dos Tribunais de Contas sobre os atos administrativos de todos os poderes. Em especial, o Controle Interno faz parte do tema desta pesquisa e será detalhado nas seções a seguir Controle Interno O controle interno faz parte do plano de organização da administração e tem os mesmos objetivos. Ocupa-se essencialmente do processamento de informações que retroalimentem a função de direção, concorrendo para a correta tomada de decisões; coexiste com as demais funções da administração e com elas, por vezes, se confunde, sendo cada qual indispensável para o funcionamento do sistema que formam, de tal maneira que a falha em uma delas pode prejudicar o funcionamento de todo o conjunto. Almeida (1996) define o conceito de Controle Interno para o universo privado, mas que pode ser aplicado também, por analogia, à Administração Pública: O controle interno representa em uma organização o conjunto de procedimentos, métodos ou rotinas com os objetivos de proteger os ativos, produzir dados contábeis confiáveis e ajudar a administração na condução ordenada dos negócios da empresa.

21 3.1 O Controle na Administração Pública 9 A Organização Internacional de Entidades de Fiscalização Superiores (INTOSAI), em seu documento Padrões de Controles Internos para o Setor Público (INTOSAI, 2004) define Controle Interno como: Um processo fundamental efetuado por todos em uma entidade, projetado para identificar riscos e fornecer garantia razoável de que, ao se buscar cumprir a missão da entidade, os seguintes objetivos gerais serão atingidos: executar operações de forma organizada, ética, econômica, eficiente e eficaz; estar em conformidade com as leis e os regulamentos aplicáveis; salvaguardar recursos contra perda, abuso e dano; e cumprir as obrigações de accountability. A garantia é razoável porque os controles dependem de uma vantajosa relação de custo e benefício (todo controle tem um custo, que deve ser inferior à perda decorrente da consumação do risco controlado) e da inexistência de conluio entre empregados, e devido aos eventos externos estarem além do controle de qualquer organização. Tais fatos constituem ameaças aos objetivos dos controles. Segundo Piscitelli (1998), os Controles Internos têm como objetivos: 1. os aspectos eminentemente contábeis, formais e legais, revisando e/ou verificando as operações; 2. o aspecto da eficiência, que concerne aos meios empregados, verificando os recursos utilizados para a consecução dos objetivos da organização; 3. o aspecto da eficácia, verificando o produto, os programas e os fins perseguidos; e 4. o julgamento da própria administração, disponibilizando e tornando transparente uma prestação de contas de qualidade e os resultados. Na análise de Sanchez (2003), o primeiro objetivo diz respeito ao controle formal no sentido de verificar se os gastos foram feitos em conformidade com as leis e regulamentos aplicáveis à entidade e à sua área de atuação. O segundo envolve o controle substantivo de contas, contra o desperdício, a fraude e o abuso de poder. O terceiro refere-se ao controle de gestão, ou seja, a avaliação do desempenho da organização. Enquanto o quarto objetivo visa dar subsídios ao referido controle vertical. Em resumo, o Controle Interno é crítico para o sucesso de qualquer organização. Quando é efetivo, o nível de gestão tem razoável garantia quanto ao alcance das metas e objetivos da organização.

22 3.1 O Controle na Administração Pública Sistema de Controle Interno Vieira (2008), ao citar que sistema é o conjunto de partes coordenadas (articuladas entre si) com vista à consecução de objetivos bem determinados define Sistema de Controle Interno como o conjunto de unidades técnicas, articuladas a partir de um órgão central de coordenação, orientado para o desempenho das atribuições de controle interno indicados na Constituição e normatizados em cada nível de governo. Os Sistemas de Controle Interno existem para auxiliar as organizações a atingir suas metas e objetivos. Permitem ao nível de gestão lidar com mudanças nos ambientes interno e externo. Também promovem eficiência, reduzem o risco de perdas e ajudam a assegurar confiabilidade às declarações financeiras e conformidade com leis e regulações. O Sistema de Controle Interno (SCI) é constituído de vários subsistemas ou unidades que devem atuar de forma integrada e harmônica e não deve ser confundido com o sistema contábil e financeiro que representa apenas um dos instrumentos do controle interno; também não é sinônimo de auditoria interna, pois esta pertence ao Sistema e equivale à atividade desenvolvida por unidade especializada quanto à revisão e apreciação da atuação dos controles internos, os quais servem de base para toda a atividade de controle na Administração Pública. O SCI precisa funcionar integrado e possuir uma unidade para coordenar todos os controles internos que o formam. Silva (2004) ensina que, na estrutura integrada, as delegações funcionam nos órgãos e são subordinadas técnica e administrativamente à unidade coordenadora central. Dessa forma, a unidade de comando administrativo assegura o comando técnico; possibilita maior especialização devido à unidade de quadro de pessoal técnico; uniformiza de procedimentos; viabiliza maior velocidade na obtenção de informações; e garante adequada autonomia técnica, indispensável ao exercício da função de controle Finalidades Segundo a Constituição Federal (BRASIL, 1988), o Sistema de Controle Interno do Poder Executivo Federal tem como finalidades: 1. avaliar o cumprimento das metas previstas no Plano Plurianual, a execução dos programas de governo e dos orçamentos da União; 2. comprovar a legalidade e avaliar os resultados, quanto à eficácia e à eficiência da

23 3.1 O Controle na Administração Pública 11 gestão orçamentária, financeira e patrimonial nos órgãos e entidades da Administração Pública Federal, bem como da aplicação de recursos públicos por entidades de direito privado; 3. exercer o controle das operações de crédito, avais e garantias, bem como dos direitos e haveres da União; e 4. apoiar o controle externo no exercício de sua missão institucional Controladoria-Geral da União A Controladoria-Geral da União (CGU) é o órgão do Governo Federal responsável por assistir direta e imediatamente o Presidente da República quanto aos assuntos que, no âmbito do Poder Executivo Federal, sejam relativos à defesa do patrimônio público e ao incremento da transparência da gestão, por meio das atividades de controle interno, auditoria pública, correição, prevenção e combate à corrupção e ouvidoria. No Poder Executivo Federal, a CGU atua como órgão central, exercendo supervisão técnica dos órgãos que compõem o Sistema de Controle Interno e o Sistema de Correição e das unidades de ouvidoria, prestando a necessária orientação normativa. A CGU foi criada por meio da Medida Provisória n , 2 de abril de 2001, com a denominação inicial de Corregedoria-Geral da União. Teve, originalmente, como propósito declarado o de combater, no âmbito do Poder Executivo Federal, a fraude e a corrupção e promover a defesa o patrimônio público. Quase um ano depois, o Decreto n 4.177, de 28 de março de 2002, integrou a Secretaria Federal de Controle Interno (SFC) e a Comissão de Coordenação de Controle Interno (CCCI) à estrutura da então Corregedoria-Geral da União. O mesmo Decreto transferiu para a Corregedoria-Geral da União as competências de Ouvidoria-Geral, até então vinculadas ao Ministério da Justiça. A Medida Provisória n 103, de 1 de janeiro de 2003, convertida na Lei n , de 28 de maio de 2003, alterou a denominação para Controladoria-Geral da União, assim como atribuiu ao seu titular a denominação de Ministro de Estado do Controle e da Transparência. Mais recentemente, o Decreto n 5.683, de 24 de janeiro de 2006, alterou a estrutura da CGU, conferindo maior organicidade e eficácia ao trabalho realizado pela instituição. Efetivou-se, desta forma, o agrupamento das principais funções administrativas de

24 3.2 Gestão da Segurança da Informação 12 controle, correição, prevenção e ouvidoria, consolidando-as em uma única estrutura funcional Fundamentação Legal O princípio de controle da Administração Pública como se conhece hoje foi introduzido pela Reforma Administrativa através da Constituição de 1967 e regulamentada pelo Decreto-Lei nº 200/1967. Esse Decreto-Lei dedica um capítulo inteiro para tratar do controle das atividades da Administração Federal. Mais recentemente a Constituição de 1988 institui os Sistemas de Controle Interno de cada Poder e atribui ao Congresso Nacional, com auxílio do Tribunal de Contas da União, a responsabilidade pelo controle externo. Em 2000, o Decreto nº 3.591/2000 dispõe sobre as finalidades, atividades, estrutura e competências do Sistema; Em seguida, a Lei nº /2001 organiza e disciplina os sistemas do ciclo de gestão governamental, entre os quais figura o Sistema de Controle Interno. Ainda em 2001 a Secretaria Federal de Controle Interno, órgão da estrutura da CGU, edita a Instrução Normativa nº 01/2001 para definir diretrizes, princípios, conceitos e normas técnicas para a atuação do Sistema de Controle Interno do Poder Executivo Federal. Na próxima seção serão apresentados os conceitos básicos de gestão da segurança da informação com o intuito de agregá-los aos procedimentos executados pelo Sistema de Controle Interno. 3.2 Gestão da Segurança da Informação Tradicionalmente, as organizações dedicam grande atenção aos seus ativos tangíveis físicos e financeiros, mas relativamente pouca atenção aos ativos de informação que possuem. Em anos recentes, contudo, a informação assumiu importância vital para manutenção dos negócios, marcados pela dinamicidade da economia globalizada e permanentemente on-line, de tal forma que, atualmente, as organizações dependem, em maior ou menor grau, da tecnologia da informação. Imaginar um comprometimento dos sistemas de informação por problemas de segurança nesse contexto pode causar grandes prejuízos ou mesmo invibializar a missão de uma instituição.

25 3.2 Gestão da Segurança da Informação Informação A informação é o dado com uma interpretação lógica ou natural dada a ele por seu usuário (REZENDE; ABREU, 2000). Constitui um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização. A sua importância e o nível de interconectividade atuais expõem a informação a um crescente número e a uma grande variedade de ameaças e vulnerabilidades. A informação pode existir em diversas formas. Impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente. Independentemente da forma como as informações são representadas, elas percorrem um ciclo de vida que pode ser definido por quatro fases (SÊMOLA, 2003): ˆ Manuseio: é a fase na qual a informação é originada e manejada, seja na digitação, folheamento de papéis, ou até mesmo na utilização de uma senha, por exemplo. ˆ Armazenamento: é a continuidade da fase anterior, ou seja, depois de manipulada a informação deve seguir um caminho, por exemplo: gravação em uma mídia, preservação em um armário de arquivo ou depósito em gaveta para eventos futuros. ˆ Transporte: seguido do armazenamento esta fase representa o instante em que a informação é encaminhada, seja via , fax, ou mesmo uma informação confidencial que deve ser remetida pelo telefone. ˆ Descarte: este é o momento do destino que a informação irá tomar, seja para a lixeira (material impresso), ou então um arquivo que vai ser excluído do computador, além de outros. O controle da informação é um fator de sucesso crítico para os negócios e sempre teve fundamental importância para as corporações do ponto de vista estratégico e empresarial (SYNNATT, 1987). Dispor da informação correta, na hora adequada, significa tomar uma decisão de forma ágil e eficiente. Com a evolução das tecnologias e dos sistemas, a informação ganhou mobilidade, exigiu estratégias de inteligência competitiva e se incorporou definitivamente aos processos de gestão. Por essas razões deve ser administrada em seus particulares, diferenciada e salvaguardada (LAUREANO, 2007).

26 3.2 Gestão da Segurança da Informação Classificação das Informações Nem toda informação é crucial ou essencial a ponto de merecer cuidados especiais. Por outro lado, determinada informação pode ser tão vital que o custo de sua integridade, qualquer que seja, ainda será menor que o custo de não dispor dela adequadamente. É importante classificar a informação em níveis de prioridade, respeitando a necessidade de cada empresa assim como a importância da classe de informação para a manutenção das atividades da empresa. Ferreira (FERREIRA; ARAúJO, 2006) apresenta uma classificação segundo o grau de importância dividida em três grupos: ˆ Informações Públicas: sua divulgação é livre. Não exige controle. Por exemplo: folhetos comerciais para o público em geral, ou dados divulgados pela imprensa e Internet. ˆ Informações de Uso Interno: não devem ser expostas fora da empresa. Devem ser armazenadas em locais que não permitam o acesso público. Por exemplo: relatórios, pareceres, documentos e processos de negócio que interessam apenas aos funcionários da empresa. ˆ Informações Confidenciais: exigem um cuidadoso esforço de proteção, uma vez que sua divulgação pode vir a causar prejuízos na empresa. Devem ser armazenadas em locais de máxima proteção, trancado e com acesso restrito. Quando elas estiverem contidas em meios eletrônicos, é imprescindível que sejam utilizados meios seguros para seu armazenamento, de preferência equipados com programas criptográficos e senhas de acesso. Por exemplo: contratos, senhas, balanços, dados cadastrais de clientes e funcionários e informações que devem ser protegidas por obrigatoriedade legal. Entretanto, independentemente da relevância ou tipo da informação, a gestão dos dados organizacionais é estratégica, pois possibilita o apoio para a tomada de decisões em qualquer âmbito institucional. Algumas informações são centrais para organização e a divulgação parcial ou total destas pode alavancar um número de repercussões cuja complexidade pode ser pouco ou nada administrável pela organização com conseqüências possivelmente nefastas. O conceito de engenharia da informação - que é um conjunto empresarial de disciplinas automatizadas, dirigido ao fornecimento da informação correta para a pessoa certa no

27 3.2 Gestão da Segurança da Informação 15 tempo exato (MARTIN, 1991; FELICIANO NETO; FURLAN; HIGO, 1988) - já demonstrava a importância da segurança da informação para as instituições. Conforme Crosby (1992), a qualidade dos processos custa dinheiro, mas a falta dela custa muito mais. Estabelecendo uma analogia, a segurança custa dinheiro mas a sua ausência poderá custar muito mais Segurança da Informação Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio. A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio (ABNT, 2005). É evidente que os negócios estão cada vez mais dependentes das tecnologias e estas precisam estar de tal forma a proporcionar confidencialidade, integridade e disponibilidade - que conforme ABNT (2005), Tipton e Krause (2005), Albuquerque e Ribeiro (2002), são os princípios básicos para garantir a segurança da informação - das informações: ˆ Confidencialidade: segurança de que a informação pode ser acessada apenas por quem tem autorização. ˆ Integridade: certeza da precisão da informação. ˆ Disponibilidade: garantia de que os usuários autorizados tenham acesso a informação e aos recursos associados, quando necessário. O item integridade não pode ser confundido com confiabilidade do conteúdo (seu significado) da informação. Uma informação pode ser imprecisa, mas deve permanecer íntegra (não sofrer alterações por pessoas não autorizadas). A segurança visa também aumentar a produtividade dos usuários através de um ambiente mais organizado, proporcionando maior controle sobre os recursos de informática, viabilizando até o uso de aplicações de missão crítica.

28 3.2 Gestão da Segurança da Informação 16 A combinação em proporções apropriadas dos itens confidencialidade, disponibilidade e integridade facilitam o suporte para que as empresas alcancem os seus objetivos, pois seus sistemas de informação serão mais confiáveis. Outros autores (DIAS, 2000; WADLOW, 2000; TIPTON; KRAUSE, 2005; ALBUQUERQUE; RIBEIRO, 2002; SÊMOLA, 2003) defendem que para uma informação ser considera segura, o sistema que o administra ainda deve respeitar: ˆ Autenticidade - Garante que a informação ou o usuário da mesma é autêntico; Atesta com exatidão, a origem do dado ou informação; ˆ Não repúdio - Não é possível negar (no sentido de dizer que não foi feito) uma operação ou serviço que modificou ou criou uma informação; Não é possível negar o envio ou recepção de uma informação ou dado; ˆ Legalidade - Garante a legalidade (jurídica) da informação; Aderência de um sistema à legislação; Característica das informações que possuem valor legal dentro de um processo de comunicação, onde todos os ativos estão de acordo com as cláusulas contratuais pactuadas ou a legislação política institucional, nacional ou internacional vigentes. ˆ Privacidade - Foge do aspecto de confidencialidade, pois uma informação pode ser considerada confidencial, mas não privada. Uma informação privada deve ser vista / lida / alterada somente pelo seu dono. Garante ainda, que a informação não será disponibilizada para outras pessoas (neste caso é atribuído o caráter de confidencialidade a informação); É a capacidade de um usuário realizar ações em um sistema sem que seja identificado. ˆ Auditoria - Rastreabilidade dos diversos passos que um negócio ou processo realizou ou que uma informação foi submetida, identificando os participantes, os locais e horários de cada etapa. Consiste no exame do histórico dos eventos dentro de um sistema para determinar quando e onde ocorreu uma violação de segurança Segurança da Informação na Administração Pública Federal A segurança da informação vem ganhando espaço nas agendas das organizações. Apesar disso, o cenário ainda é tímido na Administração Pública Federal como revela pesquisa recente do Tribunal de Contas da União (TCU). Cerca de 330 órgãos/entidades

29 3.2 Gestão da Segurança da Informação 17 foram consultados sobre governança da tecnologia da informação e também segurança da informação. As respostas fornecidas pelos órgãos/entidades pesquisados às questões sobre o tratamento dado à segurança das informações sob sua responsabilidade indicam que é preciso mais atenção ao tema. Dentre as nove questões sobre esse assunto, apenas uma obteve mais de 50% de resposta positiva. A figura 1 resume as deficiências encontradas no tratamento de segurança da informação, indicando para cada questão qual o percentual de órgãos/entidades que informaram não executar o controle associado. O resultado preocupa, pois a própria prestação do serviço de uma instituição pública aos cidadãos depende da confiabilidade das informações por ela tratadas e ofertadas (TCU, 2008). Figura 1: Principais deficiências de Segurança da Informação na Administração Pública Federal (TCU, 2008) Da figura 1 podem ser destacados alguns pontos para a reflexão sobre os resultados da pesquisa: ˆ 64% dos órgãos/entidades pesquisadas declarou não possuir política de segurança da informação (PSI). Isso demonstra que a gestão da segurança da informação é incipiente ou inexistente na maioria dos órgãos, vez que a PSI é um dos primeiros documentos elaborados no processo de segurança da informação; ˆ 80% dos órgãos/entidades pesquisadas declarou não efetuar a classificação de suas informações. Outro dados preocupante, já que junto com a PSI, o processo de classificação de informações é um dos pilares da segurança da informação;

Tribunal Regional Eleitoral de Santa Catarina

Tribunal Regional Eleitoral de Santa Catarina Planejamento Estratégico de Tecnologia da Informação e Comunicação (PETI) Secretaria de Tecnologia da Informação Florianópolis, março de 2010. Apresentação A informatização crescente vem impactando diretamente

Leia mais

Governança de TI: O desafio atual da Administração Pública. André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011

Governança de TI: O desafio atual da Administração Pública. André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011 Governança de TI: O desafio atual da Administração Pública André Luiz Furtado Pacheco, CISA SECOP 2011 Porto de Galinhas, setembro de 2011 André Luiz Furtado Pacheco, CISA Graduado em Processamento de

Leia mais

Auditoria Interna na Área de Tecnologia da Informação

Auditoria Interna na Área de Tecnologia da Informação Auditoria Interna na Área de Tecnologia da Informação André Luiz Furtado Pacheco, CISA 4º Workshop de Auditoria de TI da Caixa Brasília, agosto de 2011 Agenda Introdução Exemplos de Deliberações pelo TCU

Leia mais

Questionário de Governança de TI 2014

Questionário de Governança de TI 2014 Questionário de Governança de TI 2014 De acordo com o Referencial Básico de Governança do Tribunal de Contas da União, a governança no setor público compreende essencialmente os mecanismos de liderança,

Leia mais

CONTAS CONTROLADAS. Sede do TCU em Brasília R I S K M A N A G E M E N T R E V I E W 1 9 DIVULGAÇÃO

CONTAS CONTROLADAS. Sede do TCU em Brasília R I S K M A N A G E M E N T R E V I E W 1 9 DIVULGAÇÃO CONTAS CONTROLADAS TCU adota modelo de governança de TI no ambiente interno alinhando com seu plano estratégico para realizar o controle externo das contas da União com maior eficiência COMO ÓRGÃO RESPONsável

Leia mais

José Geraldo Loureiro Rodrigues Orientador: João Souza Neto

José Geraldo Loureiro Rodrigues Orientador: João Souza Neto José Geraldo Loureiro Rodrigues Orientador: João Souza Neto Análise dos três níveis: Governança Corporativa Governança de TI Gerenciamento da Área de TI ORGANIZAÇÃO Governança Corporativa Governança

Leia mais

Segurança da informação

Segurança da informação Segurança da informação Roberta Ribeiro de Queiroz Martins, CISA Dezembro de 2007 Agenda Abordagens em auditoria de tecnologia da informação Auditoria de segurança da informação Critérios de auditoria

Leia mais

Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação

Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação Atuação da Auditoria Interna na Avaliação da Gestão de Tecnologia da Informação Emerson de Melo Brasília Novembro/2011 Principais Modelos de Referência para Auditoria de TI Como focar no negócio da Instituição

Leia mais

A GESTÃO PÚBLICA NO BRASIL E SEUS CONTROLES INTERNO E EXTERNO RESUMO

A GESTÃO PÚBLICA NO BRASIL E SEUS CONTROLES INTERNO E EXTERNO RESUMO A GESTÃO PÚBLICA NO BRASIL E SEUS CONTROLES INTERNO E EXTERNO RESUMO O presente estudo é resultado de uma revisão bibliográfica e tem por objetivo apresentar a contextualização teórica e legislativa sobre

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

Seminário O controle interno governamental no Brasil Velhos Desafios, Novas Perspectivas. 14 a 16 de Maio Iguassu Resort Foz do Iguaçu - Paraná

Seminário O controle interno governamental no Brasil Velhos Desafios, Novas Perspectivas. 14 a 16 de Maio Iguassu Resort Foz do Iguaçu - Paraná Seminário O controle interno governamental no Brasil Velhos Desafios, Novas Perspectivas 14 a 16 de Maio Iguassu Resort Foz do Iguaçu - Paraná Controle Interno na visão dos Auditores Externos Situação

Leia mais

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS

CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS CobiT 4.01 OBJETIVOS DE CONTROLE PARA INFORMAÇÃO E TECNOLOGIAS RELACIONADAS METODOLOGIA DE AUDITORIA PARA AVALIAÇÃO DE CONTROLES E CUMPRIMENTO DE PROCESSOS DE TI NARDON, NASI AUDITORES E CONSULTORES CobiT

Leia mais

Política de Segurança da informação e Comunicação

Política de Segurança da informação e Comunicação Política de Segurança da informação e Comunicação 2015-2017 HISTÓRICO DE REVISÕES Data Versão Descrição Autores 28/04/2015 1.0 Elementos textuais preliminares Jhordano e Joilson 05/05/2015 2.0 Elementos

Leia mais

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

GESTÃO DE CONTINUIDADE DOS NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM GESTÃO DE CONTINUIDADE DOS

Leia mais

O CONTROLE INTERNO COMO INSTRUMENTO DE GESTÃO PARA OS MUNICÍPIOS

O CONTROLE INTERNO COMO INSTRUMENTO DE GESTÃO PARA OS MUNICÍPIOS O CONTROLE INTERNO COMO INSTRUMENTO DE GESTÃO PARA OS MUNICÍPIOS Luís Filipe Vellozo de Sá e Eduardo Rios Auditores de Controle Externo TCEES Vitória, 21 de fevereiro de 2013 1 Planejamento Estratégico

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO DEZEMBRO/2011 Rua do Rouxinol, N 115 / Salvador Bahia CEP: 41.720-052 Telefone: (71) 3186-0001. Email: cgti@listas.ifbaiano.edu.br Site: http://www.ifbaiano.edu.br

Leia mais

Apresentação Plano de Integridade Institucional da Controladoria-Geral da União (PII)

Apresentação Plano de Integridade Institucional da Controladoria-Geral da União (PII) PRESIDÊNCIA DA REPÚBLICA CONTROLADORIA-GERAL DA UNIÃO Secretaria-Executiva Diretoria de Planejamento e Desenvolvimento Institucional Plano de Integridade Institucional (PII) 2012-2015 Apresentação Como

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC

Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC Pode Judiciário Justiça do Trabalho Tribunal Regional do Trabalho da 11ª Região ATRIBUIÇÕES DOS CARGOS DE DIREÇÃO E CHEFIAS DA SETIC 1. Diretor da Secretaria de Tecnologia da Informação e Comunicação Coordenar

Leia mais

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011

RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 Dispõe sobre a Política de Governança de Tecnologia da Informação do Tribunal de Contas da União (PGTI/TCU). O TRIBUNAL DE CONTAS DA UNIÃO, no uso de suas

Leia mais

Auditoria dos Sistemas de Informação Aliada à Gestão Empresarial. Resumo

Auditoria dos Sistemas de Informação Aliada à Gestão Empresarial. Resumo Auditoria dos Sistemas de Informação Aliada à Gestão Empresarial Maicom Rafael Victor Simch Tiago Squinzani Tonetto E-mail:tiago-tonetto@hotmail.com, maravisi@hotmail.com Resumo Neste trabalho é proposta

Leia mais

INTRODUÇÃO. Apresentação

INTRODUÇÃO. Apresentação ANEXO ÚNICO DA RESOLUÇÃO ATRICON 05/2014 DIRETRIZES DE CONTROLE EXTERNO ATRICON 3204/2014: CONTROLE INTERNO: INSTRUMENTO DE EFICIÊNCIA DOS JURISDICIONADOS SUMÁRIO INTRODUÇÃO... 2 Apresentação... 2 Justificativa...

Leia mais

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

GESTÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES Número da Norma Complementar Revisão Emissão Folha ICMBio Instituto Chico Mendes De Conservação da Biodiversidade Diretoria de Planejamento, Administração e Logística ORIGEM COTEC - Coordenação de Tecnologia

Leia mais

RESOLUÇÃO Nº 506, DE 28 DE JUNHO DE 2013

RESOLUÇÃO Nº 506, DE 28 DE JUNHO DE 2013 Publicada no DJE/STF, n. 127, p. 1-3 em 3/7/2013. RESOLUÇÃO Nº 506, DE 28 DE JUNHO DE 2013 Dispõe sobre a Governança Corporativa de Tecnologia da Informação no âmbito do Supremo Tribunal Federal e dá outras

Leia mais

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências.

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. PORTARIA No- 192, DE 12 DE FEVEREIRO DE 2010 Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. O ADVOGADO-GERAL DA UNIÃO, no uso de suas atribuições

Leia mais

A NOVA POLÍTICA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO DO ESTADO DO ESPÍRITO SANTO

A NOVA POLÍTICA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO DO ESTADO DO ESPÍRITO SANTO Centro de Convenções Ulysses Guimarães Brasília/DF 4, 5 e 6 de junho de 2012 A NOVA POLÍTICA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO DO ESTADO DO ESPÍRITO SANTO Pablo Sandin Amaral Renato Machado Albert

Leia mais

Missão dos Órgãos de Controle Interno, Desafios e Visão de Futuro. Renato Santos Chaves

Missão dos Órgãos de Controle Interno, Desafios e Visão de Futuro. Renato Santos Chaves Missão dos Órgãos de Controle Interno, Desafios e Visão de Futuro Renato Santos Chaves Sumário 1) Conceitos Básicos: Controle Interno e Externo, Controles Internos Administrativos, Auditoria Interna e

Leia mais

PR 29/07/2013. Instrução Normativa Nº 24/2013

PR 29/07/2013. Instrução Normativa Nº 24/2013 SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DO DESENVOLVIMENTO, INDÚSTRIA E COMÉRCIO EXTERIOR INSTITUTO NACIONAL DA PROPRIEDADE INDUSTRIAL PR 29/07/2013 Instrução Normativa Nº 24/2013 Assunto: Institui a Política

Leia mais

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios

Módulo 4. Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Módulo 4 Visão geral dos controles do COBIT aplicáveis para implantação da Sarbanes, o papel de TI, a importância dos softwares e exercícios Estruturas e Metodologias de controle adotadas na Sarbanes COBIT

Leia mais

TERMO DE REFERÊNCIA CONTRATAÇÃO DE EMPRESA PARA REALIZAÇÃO DE CONSULTORIA EM AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO

TERMO DE REFERÊNCIA CONTRATAÇÃO DE EMPRESA PARA REALIZAÇÃO DE CONSULTORIA EM AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO TERMO DE REFERÊNCIA CONTRATAÇÃO DE EMPRESA PARA REALIZAÇÃO DE CONSULTORIA EM AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO TERMOS DE REFERÊNCIA 1.OBJETO Contratação de Serviço de Consultoria especializada em AUDITORIA

Leia mais

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO 1 GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO RESUMO DO ARTIGO Este artigo se propõe a apresentar uma panorâmica do uso da Segurança da Informação e sua importância como diferencial competitivo

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

I sob o enfoque contábil: Modelo de Projeto de Lei de Controle Interno Controladoria e Auditoria

I sob o enfoque contábil: Modelo de Projeto de Lei de Controle Interno Controladoria e Auditoria Modelo de Projeto de Lei de Controle Interno Controladoria e Auditoria Dispõe sobre a organização e a atuação do Sistema de Controle Interno no Município e dá outras providências. CAPÍTULO I DAS DISPOSIÇÕES

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 08/08/2014 19:53:40 Endereço IP: 150.164.72.183 1. Liderança da alta administração 1.1. Com

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO NBR ISO/IEC 27002: 2005 (antiga NBR ISO/IEC 17799) NBR ISO/IEC 27002:2005 (Antiga NBR ISO/IEC 17799); 27002:2013. Metodologias e Melhores Práticas em SI CobiT; Prof. Me. Marcel

Leia mais

Regimento Interno da Unidade de Auditoria Interna

Regimento Interno da Unidade de Auditoria Interna CENTRO FEDERAL DE EDUCAÇÃO TECNOLÓGICA CELSO SUCKOW DA FONSECA UNIDADE DE AUDITORIA INTERNA - UAUDI Regimento Interno da Unidade de Auditoria Interna Rio de Janeiro 2015 CAPÍTULO I DA MISSÃO E DO ESCOPO

Leia mais

Avaliação da Segurança da Informação no âmbito da APF

Avaliação da Segurança da Informação no âmbito da APF Avaliação da Segurança da Informação no âmbito da APF Pedro Coutinho Filho Sefti Brasília, 17 de maio de 2013 www.tcu.gov.br/fiscalizacaoti 2 da TI o Levantamento IGovTI o Objetivos Agenda o Principais

Leia mais

Art. 1º Aprovar as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19).

Art. 1º Aprovar as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19). PORTARIA Nº 483, DE 20 DE SETEMBRO DE 2001. Aprova as Instruções Gerais de Segurança da Informação para o Exército Brasileiro (IG 20-19). O COMANDANTE DO EXÉRCITO, no uso da competência que lhe é conferida

Leia mais

RESOLUÇÃO GP/DG N. 7, DE 21 DE NOVEMBRO DE 2014

RESOLUÇÃO GP/DG N. 7, DE 21 DE NOVEMBRO DE 2014 TRIBUNAL REGIONAL DO TRABALHO DA 3ª REGIÃO RESOLUÇÃO GP/DG N. 7, DE 21 DE NOVEMBRO DE 2014 Institui a Política de Segurança da Informação e Comunicação (POSIC-TRT3) no âmbito do Tribunal Regional do Trabalho

Leia mais

Olá, pessoal. Vamos às questões.

Olá, pessoal. Vamos às questões. 1 Olá, pessoal. Espero que tenham aproveitado o tempo disponível para o estudo desde o nosso último encontro. Quando o edital for publicado, é importante que nós já tenhamos visto boa parte da matéria,

Leia mais

OGU Ações e Projetos 2011/2012

OGU Ações e Projetos 2011/2012 OGU Ações e Projetos 2011/2012 FUNDAMENTOS NORMATIVOS Constituição Federal Art. 37. A administração pública direta e indireta de qualquer dos Poderes da União, dos Estados, do Distrito Federal e dos Municípios

Leia mais

Política da Segurança da Informação

Política da Segurança da Informação Política da Segurança da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA BM&FBOVESPA 1. INTRODUÇÃO A informação é um ativo que possui grande valor para a BM&FBOVESPA, devendo ser adequadamente utilizada

Leia mais

Levantamento de Governança de TI 2014

Levantamento de Governança de TI 2014 Levantamento de Governança de TI 2014 Resultado individual: INSTITUTO FEDERAL DE RONDÔNIA Segmento: Executivo - Sisp Tipo: Instituição de Ensino A classificação deste documento é de responsabilidade da

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 12/06/2014 13:58:56 Endereço IP: 200.252.42.196 1. Liderança da alta administração 1.1. Com

Leia mais

Gestão de Sistemas de Informação II Introdução ao COBIT

Gestão de Sistemas de Informação II Introdução ao COBIT Gestão de Sistemas de Informação II Introdução ao COBIT Professor Samuel Graeff prof.samuel@uniuv.edu.br COBIT O que e? COBIT significa Control Objectives for Information and related Technology - Objetivos

Leia mais

RESOLUÇÃO Nº. 199 DE 27 DE DEZEMBRO DE 2013

RESOLUÇÃO Nº. 199 DE 27 DE DEZEMBRO DE 2013 RESOLUÇÃO Nº. 199 DE 27 DE DEZEMBRO DE 2013 A PRESIDENTE EM EXERCÍCIO DO CONSELHO UNIVERSITÁRIO DA, no uso de suas atribuições legais e CONSIDERANDO que as entidades da Administração Pública Federal indireta

Leia mais

18/08/2015. Governança Corporativa e Regulamentações de Compliance. Gestão e Governança de TI. Governança Corporativa. Governança Corporativa

18/08/2015. Governança Corporativa e Regulamentações de Compliance. Gestão e Governança de TI. Governança Corporativa. Governança Corporativa Gestão e Governança de TI e Regulamentações de Compliance Prof. Marcel Santos Silva A consiste: No sistema pelo qual as sociedades são dirigidas, monitoradas e incentivadas, envolvendo o relacionamento

Leia mais

Controle Interno do Tribunal de Contas da União

Controle Interno do Tribunal de Contas da União Controle Interno do Tribunal de Contas da União Resumo: o presente artigo trata de estudo do controle interno no Tribunal de Contas da União, de maneira expositiva. Tem por objetivo contribuir para o Seminário

Leia mais

RESOLUÇÃO NORMATIVA Nº 26/2014 TP

RESOLUÇÃO NORMATIVA Nº 26/2014 TP Processo nº 19.070-5/2014 Interessado TRIBUNAL DE CONTAS DO ESTADO DE MATO GROSSO Assunto conceito e a estrutura da referência do sistema de controle interno dos fiscalizados, bem como estabelece a competência

Leia mais

$XGLWRULDé uma atividade que engloba o exame das operações, processos,

$XGLWRULDé uma atividade que engloba o exame das operações, processos, $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 &\QDUD&DUYDOKR F\QDUDFDUYDOKR#\DKRRFRPEU

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO RESOLUÇÃO Nº 32/2014 Institui a política de segurança da informação da UFPB, normatiza procedimentos com esta finalidade e

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 13/06/2014 14:08:02 Endereço IP: 177.1.81.29 1. Liderança da alta administração 1.1. Com

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. Institui a Política de Segurança da Informação e Comunicações POSIC, no âmbito do IPEA. O PRESIDENTE DO INSTITUTO DE

Leia mais

Segurança da Informação. Fundamentos do Modelo de Segurança da Informação

Segurança da Informação. Fundamentos do Modelo de Segurança da Informação Segurança da Informação Fundamentos do Modelo de Segurança da Informação A Segurança da Informação no Governo Federal OGoverno Federal, em diversas oportunidades, tem se manifestado no sentido de assegurar

Leia mais

Levantamento do Perfil de Governança e Gestão de Pessoas da Administração Pública Federal

Levantamento do Perfil de Governança e Gestão de Pessoas da Administração Pública Federal Fórum Gestão de Pessoas Levantamento do Perfil de Governança e Gestão de Pessoas da Administração Pública Federal Fabiano Nijelschi G. Fernandes Auditor Federal de Controle Externo Secretaria de Fiscalização

Leia mais

PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO PLANO DE CONTINGÊNCIA E POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO Dispõe sobre a criação do Plano de Contingência e Política de Segurança da Informação e Comunicações do Instituto Federal Farroupilha

Leia mais

Dados de Identificação. Dirigente máximo da instituição. Nome/Sigla da instituição pública. Nome do dirigente máximo. Nome/Cargo do dirigente de TI

Dados de Identificação. Dirigente máximo da instituição. Nome/Sigla da instituição pública. Nome do dirigente máximo. Nome/Cargo do dirigente de TI Dados de Identificação Dirigente máximo da instituição Nome/Sigla da instituição pública Nome do dirigente máximo Nome/Cargo do dirigente de TI Endereço do setor de TI 1 Apresentação O Tribunal de Contas

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

I Seminário sobre Segurança da Informação e Comunicações

I Seminário sobre Segurança da Informação e Comunicações I Seminário sobre Segurança da Informação e Comunicações GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA (GSI/PR) OBJETIVO Identificar a Metodologia de Gestão de SIC na APF AGENDA Gestão

Leia mais

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008

Um Modelo de Sistema de Gestão da Segurança da Informação Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 REVISTA TELECOMUNICAÇÕES, VOL. 15, Nº01, JUNHO DE 2013 1 Um Modelo de Sistema de Gestão da Segurança da Baseado nas Normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008 Valdeci Otacilio dos Santos

Leia mais

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727)

Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Nome do questionário (ID): Levantamento de Governança de TI 2014 (566727) Pergunta: Sua resposta Data de envio: 06/06/2014 18:22:39 Endereço IP: 189.9.1.20 1. Liderança da alta administração 1.1. Com relação

Leia mais

Levantamento de Governança e Gestão de Pessoas na APF

Levantamento de Governança e Gestão de Pessoas na APF Secretaria de Fiscalização de Pessoal Levantamento de Governança e Gestão de Pessoas na APF Fabiano Nijelschi Guercio Fernandes Auditor Federal de Controle Externo Brasília-DF, 25 de fevereiro de 2013

Leia mais

ACÓRDÃO Nº 1233/2012 TCU Plenário

ACÓRDÃO Nº 1233/2012 TCU Plenário ACÓRDÃO Nº 1233/2012 TCU Plenário 1. Processo nº TC 011.772/2010-7. 2. Grupo I Classe de Assunto V: Relatório de Auditoria 3. Interessados/Responsáveis: 3.1. Interessada: Secretaria de Fiscalização de

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação Código: PSI_1.0 Versão: 1.0 Data de Publicação: 28/05/2014 Controle de Versão Versão Data Responsável Motivo da Versão 1.0 28/05/2014 Heitor Gouveia Criação da Política

Leia mais

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com

GESTÃO DE T.I. COBIT. José Luís Padovan jlpadovan@gmail.com GESTÃO DE T.I. COBIT José Luís Padovan jlpadovan@gmail.com COBIT Control Objectives for Information and Related Technology Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Information

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014

RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014 RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014 O CONSELHO UNIVERSITÁRIO da Universidade Federal do Pampa, em sessão de 30/10/2014, no uso das atribuições que lhe são conferidas pelo Artigo 19, Inciso XVII do

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES CONSULTA PÚBLICA Nº 32, DE 19 DE JULHO DE 2012

AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES CONSULTA PÚBLICA Nº 32, DE 19 DE JULHO DE 2012 AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES CONSULTA PÚBLICA Nº 32, DE 19 DE JULHO DE 2012 Proposta de Política de Segurança da Informação e Comunicações da Anatel O CONSELHO DIRETOR DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES,

Leia mais

SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013

SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013 SERVIÇO PÚBLICO FEDERAL MEC - INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TRIÂNGULO MINEIRO RESOLUÇÃO Nº 27/2013, DE 29 DE AGOSTO DE 2013 Dispõe sobre a Política de Segurança da Informação e

Leia mais

LEI COMPLEMENTAR Nº 141, DE 03 DE SETEMBRO DE 2009.

LEI COMPLEMENTAR Nº 141, DE 03 DE SETEMBRO DE 2009. LEI COMPLEMENTAR Nº 141, DE 03 DE SETEMBRO DE 2009. O GOVERNADOR DO ESTADO DE PERNAMBUCO: Dispõe sobre o Modelo Integrado de Gestão do Poder Executivo do Estado de Pernambuco. Faço saber que a Assembléia

Leia mais

CONTROLE INTERNO NAS ENTIDADES PÚBLICAS

CONTROLE INTERNO NAS ENTIDADES PÚBLICAS CONTROLE INTERNO NAS ENTIDADES PÚBLICAS Resumo: o presente artigo trata de estudo do controle interno nas entidades públicas no Brasil, de maneira expositiva. Tem por objetivo contribuir para o Seminário

Leia mais

Universidade do Estado de Minas Gerais Instituto Superior de Ensino e Pesquisa de Ituiutaba Sistemas de Informação Segurança e Auditoria de Sistemas

Universidade do Estado de Minas Gerais Instituto Superior de Ensino e Pesquisa de Ituiutaba Sistemas de Informação Segurança e Auditoria de Sistemas 1. Conceitos e Organização da Auditoria Universidade do Estado de Minas Gerais 1.1 Conceitos Auditoria é uma atividade que engloba o exame de operações, processos, sistemas e responsabilidades gerenciais

Leia mais

EDUCAÇÃO COM QUALIDADE CONTRIBUI PARA UMA SOCIEDADE MELHOR

EDUCAÇÃO COM QUALIDADE CONTRIBUI PARA UMA SOCIEDADE MELHOR MINISTÉRIO DA EDUCAÇÃO SECRETARIA EXECUTIVA Subsecretaria de Assuntos Administrativos M E C EDUCAÇÃO COM QUALIDADE CONTRIBUI PARA UMA SOCIEDADE MELHOR BOLETIM DE SERVIÇO Nº 30/2012 SUPLEMENTO EDITADO,

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

POLÍTICA DE GOVERNANÇA COOPERATIVA

POLÍTICA DE GOVERNANÇA COOPERATIVA POLÍTICA DE GOVERNANÇA COOPERATIVA 1 1. APRESENTAÇÃO Esta política estabelece os princípios e práticas de Governança Cooperativa adotadas pelas cooperativas do Sistema Cecred, abordando os aspectos de

Leia mais

Questão de auditoria Informações Requeridas Fontes de Informação Procedimentos Possíveis Achados

Questão de auditoria Informações Requeridas Fontes de Informação Procedimentos Possíveis Achados Questão de auditoria Informações Requeridas Fontes de Informação s Possíveis Achados 1 As características da unidade de controle interno atendem aos preceitos normativos e jurisprudenciais? Ato que criou

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

Auditoria e Segurança de Sistemas Aula 02 Auditoria. Felipe S. L. G. Duarte Felipelageduarte+fatece@gmail.com

Auditoria e Segurança de Sistemas Aula 02 Auditoria. Felipe S. L. G. Duarte Felipelageduarte+fatece@gmail.com Auditoria e Segurança de Sistemas Aula 02 Auditoria Felipe S. L. G. Duarte Felipelageduarte+fatece@gmail.com Evolução / Necessidade Empresas com Capital Fechado Aumento da concorrência Investimento em

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

RESOLUÇÃO Nº 542, DE 13 DE JANEIRO DE 2015

RESOLUÇÃO Nº 542, DE 13 DE JANEIRO DE 2015 Publicada no DJE/STF, n.10, p. 1-3 em 16/01/2015 RESOLUÇÃO Nº 542, DE 13 DE JANEIRO DE 2015 Dispõe sobre as prerrogativas, as responsabilidades, a competência e a atuação da Secretaria de Controle Interno

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00093 de 20 de fevereiro de 2014 Dispõe sobre a aprovação do Documento Acessório Comum Política de Gestão de Riscos,

Leia mais

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes

POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes POLÍTICA DE SEGURANÇA, MEIO AMBIENTE E SAÚDE - SMS. Elaboração Luiz Guilherme D CQSMS 10 00 Versão Data Histórico Aprovação 00 20/10/09 Emissão de documento Aldo Guedes Avaliação da Necessidade de Treinamento

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

O CONGRESSO NACIONAL decreta:

O CONGRESSO NACIONAL decreta: Altera a Lei nº 10.683, de 28 de maio de 2003, que dispõe sobre a organização da Presidência da República e dos Ministérios; autoriza a prorrogação de contratos temporários firmados com fundamento no art.

Leia mais

20/IN01/DSIC/GSIPR 00 15/JUL/14 1/12

20/IN01/DSIC/GSIPR 00 15/JUL/14 1/12 20/IN01/DSIC/GSIPR 00 15/JUL/14 1/12 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

Leia mais

Melhores Práticas em TI

Melhores Práticas em TI Melhores Práticas em TI Referências Implantando a Governança de TI - Da Estratégia à Gestão de Processos e Serviços - 2ª Edição Edição - AGUINALDO ARAGON FERNANDES, VLADIMIR FERRAZ DE ABREU. An Introductory

Leia mais

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. 06/IN01/DSIC/GSIPR 01 11/NOV/09 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações GESTÃO DE CONTINUIDADE DE NEGÓCIOS EM SEGURANÇA DA

Leia mais

ATO Nº 229/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,

ATO Nº 229/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais, ATO Nº 229/2013 Aprova a Norma Complementar de Criação da Equipe de Tratamento e Resposta a Incidentes na Rede de Computadores do Tribunal Regional do Trabalho da 7ª Região. A PRESIDENTE DO TRIBUNAL REGIONAL

Leia mais

GLOSSÁRIO. Atividade: ação, em geral repetitiva, que permite gerar um determinado produto (bens e serviços), estendendo-se por tempo indeterminado.

GLOSSÁRIO. Atividade: ação, em geral repetitiva, que permite gerar um determinado produto (bens e serviços), estendendo-se por tempo indeterminado. GLOSSÁRIO Accountability: obrigação de prestar contas. Responsabilização. Envolve não apenas a transparência dos processos como também a definição de responsabilidades e identificação dos responsáveis.

Leia mais

A gestão da Secretaria de Fiscalização de Tecnologia da Informação

A gestão da Secretaria de Fiscalização de Tecnologia da Informação A gestão da Secretaria de Fiscalização de Tecnologia da Informação Cláudio Castello Branco Introdução A criação da Secretaria de Fiscalização de Tecnologia da Informação (Sefti) no Tribunal de Contas da

Leia mais

Seminário: O controle interno governamental no Brasil Velhos Desafios, Novas Perspectivas

Seminário: O controle interno governamental no Brasil Velhos Desafios, Novas Perspectivas Seminário: O controle interno governamental no Brasil Velhos Desafios, Novas Perspectivas Palestra: O controle Interno no Brasil - situação atual e perspectivas futuras. Valdir Agapito Teixeira Secretário

Leia mais

SUPERVISÃO E COORDENAÇÃO: IMPACTOS NA QUALIDADE DOS TRABALHOS DE AUDITORIA DA CONTROLADORIA GERAL DA UNIÃO

SUPERVISÃO E COORDENAÇÃO: IMPACTOS NA QUALIDADE DOS TRABALHOS DE AUDITORIA DA CONTROLADORIA GERAL DA UNIÃO JOSÉ MARCELO CASTRO DE CARVALHO SUPERVISÃO E COORDENAÇÃO: IMPACTOS NA QUALIDADE DOS TRABALHOS DE AUDITORIA DA CONTROLADORIA GERAL DA UNIÃO Projeto de pesquisa apresentado à Coordenação como parte das exigências

Leia mais

CONTROLADORIA NA ADMINISTRAÇÃO PÚBLICA PROF. MARCUS VINICIUS VERAS MACHADO (UFC) 13/11/2012.

CONTROLADORIA NA ADMINISTRAÇÃO PÚBLICA PROF. MARCUS VINICIUS VERAS MACHADO (UFC) 13/11/2012. CONTROLADORIA NA ADMINISTRAÇÃO PÚBLICA PROF. MARCUS VINICIUS VERAS MACHADO (UFC) 13/11/2012. Controle Conceito É a ação necessária para verificar se os objetivos, planos, políticas e padrões estão sendo

Leia mais

REGIMENTO INTERNO DA UNIDADE DE AUDITORIA INTERNA DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MATO GROSSO DO SUL (IFMS)

REGIMENTO INTERNO DA UNIDADE DE AUDITORIA INTERNA DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MATO GROSSO DO SUL (IFMS) REGIMENTO INTERNO DA UNIDADE DE AUDITORIA INTERNA DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MATO GROSSO DO SUL (IFMS) CAPÍTULO I DISPOSIÇÕES PRELIMINARES Art. 1º A Unidade de Auditoria

Leia mais

Uso de TIC nas IFES Planejamento e Governança

Uso de TIC nas IFES Planejamento e Governança Uso de TIC nas IFES Planejamento e Governança IV Encontro do Forplad Daniel Moreira Guilhon, CISA Novembro/2012 1 O que pretendemos? Conceituar os aspectos relacionados à boa governança para assegurar

Leia mais

I. PROGRAMA GLOBAL DE COMPLIANCE

I. PROGRAMA GLOBAL DE COMPLIANCE POLÍTICA DE COMPLIANCE Revisado em Março de 2013 I. PROGRAMA GLOBAL DE COMPLIANCE A The Warranty Group, Inc. (corporação) e suas empresas subsidiárias têm o compromisso de realizar seus negócios de modo

Leia mais