Proposta de Cenário para aplicação da norma NBR ISO/IEC 27002 em Auditorias Governamentais do Sistema de Controle Interno

Henrique Aparecido da Rocha Proposta de Cenário para aplicação da norma NBR ISO/IEC 27002 em Auditorias Governamentais do Sistema de Controle Interno Brasília dezembro de 2008

Henrique Aparecido da Rocha Proposta de Cenário para aplicação da norma NBR ISO/IEC 27002 em Auditorias Governamentais do Sistema de Controle Interno Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília como requisito parcial para a obtenção do título de Especialista em Ciência da Computação: Gestão da Segurança da Informação e Comunicações Orientador: Prof. Dr. Edgard Costa Oliveira Universidade de Brasília UnB Departamento de Ciência da Computação henrique.rocha@cgu.gov.br Brasília dezembro de 2008

i Monografia de Especialização defendida sob o título Proposta de Cenário para aplicação da norma NBR ISO/IEC 27002 em Auditorias Governamentais do Sistema de Controle Interno, defendida por Henrique Aparecido da Rocha e aprovada em 10 de dezembro de 2008 em Brasília - DF, pela banca examinadora constituída pelos professores e pesquisadores: Prof. Dr. Edgard Costa Oliveira Orientador Prof. Dr. José Carlos Loureiro Ralha Universidade de Brasília Prof. Dr. Jorge H. C. Fernandes Universidade de Brasília

ii Dedicatória À pequena Yasmin, presente de Deus.

iii Agradecimentos À Deus, pela oportunidade de vibrar com mais esta conquista. Ao Prof. Edgard, pela disposição em direcionar este trabalho. À Coordenação, que assumiu o compromisso de conduzir essa 1ª turma e o fez de forma extremamente competente. Ao Gabinete de Segurança Institucional, pelas iniciativas como esta que fomentam a cultura de segurança da informação na APF. À Controladoria-Geral da União, pela consideração com que me distinguiu para participar deste projeto. Aos colegas de curso, que criaram um ambiente propício para a aprendizagem coletiva e a troca de experiências. À minha família, pelo apoio e compreensão.

iv Resumo As iniciativas em Segurança da Informação têm se destacado nos últimos anos em virtude de fatores que incluem o poder conquistado pela informação nos processos de negócio atuais, a grande exposição dessas informações propiciada pelo desenvolvimento tecnológico e o conseqüente aumento dos registros de incidentes de segurança. Entretanto, a Administração Pública Federal (APF) ainda não absorveu totalmente essa cultura de segurança e não protege adequadamente as suas informações de valor. De outro lado, o Sistema de Controle Interno tem a incumbência de assessorar os gestores públicos na implementação dos controles internos responsáveis por garantir que sejam alcançados os objetivos das instituições. E nesse contexto, a segurança da informação pode ajudar. O foco desta monografia é especificar meios de disseminar a cultura de segurança da informação entre os órgãos da APF e apoiá-los a implementar os controles adequados para esse fim. A solução proposta consiste na incorporação de procedimentos de verificação, baseados em normas de segurança da informação amplamente utilizadas, no processo de auditoria do Sistema de Controle Interno. A idéia é utilizar a estrutura já existente de auditorias periódicas como suporte também para conscientizar e orientar os órgãos da importância da segurança da informação para suas missões. As principais contribuições desta monografia são: (1) Descrever o processo de auditoria empregado pelo Sistema de Controle Interno do Governo Federal; (2) Descrever a norma NBR ISO/IEC 270002 que apresenta código de prática para a gestão da segurança da informação; e (3) Propor cenário de aplicação da norma NBR ISO/IEC 270002 no processo de auditoria do Sistema de Controle Interno do Governo Federal. Palavras-Chave Controle Interno, Cultura de Segurança, Procedimentos de Auditoria

v Abstract Initiatives on Information Security have been highlighted in recent years due to factors that include the importance acquired by information in the light of modern business processes, the vast exposure of the information provided by the development of new technologies and the consequent growth of reported information security incidents. However, the Federal Public Administration (FPA) has not yet fully absorbed the culture of information security and thus, does not adequately protect its important information. Yet in this context, the Internal Control System of the Federal Government has the duty of advising the public managers on the implementation of internal procedures that ensure the institutions needs they represent are achieved. As will be discussed, information security can play an important role in this process. The goal of this monograph is to specify ways to disseminate the culture of information security among FPA departments and to support them on the task of implementing the appropriate controls for that purpose. The solution to be proposed includes the incorporation of verification procedures, especially those based on widely used information security standards, in the audit process of the Internal Control System. The idea is to make use of the existing periodic audit structure as a mean of bringing the institutions orientation and awareness about the importance of information security on their missions. The main contributions of this monograph are: (1) To describe the audit process employed by the Internal Control System, (2) To describe the standard NBR ISO/IEC 27002 which presents a code of practice for information security management, and (3) To propose an implementation scenario for the NBR ISO/IEC 27002 in the context of the Internal Control System audit process. Keywords Internal Control, Culture of Information Security, Auditing Procedures

vi Sumário Resumo p. iv Abstract p. v Lista de Tabelas p. ix Lista de Figuras p. x 1 Introdução p. 1 2 Requisitos Pré-pesquisa p. 3 2.1 Objetivos................................... p. 3 2.1.1 Objetivo geral............................. p. 3 2.1.2 Objetivos específicos......................... p. 3 2.2 Justificativa.................................. p. 4 2.3 Metodologia.................................. p. 5 2.3.1 Caracterização da pesquisa...................... p. 5 3 Revisão de Literatura e Fundamentos p. 7 3.1 O Controle na Administração Pública.................... p. 7 3.1.1 A função Controle.......................... p. 7 3.1.1.1 Classificação........................ p. 8 3.1.1.2 Controle Interno...................... p. 8 3.1.2 Sistema de Controle Interno..................... p. 10 3.1.2.1 Finalidades......................... p. 10

Sumário vii 3.1.2.2 Controladoria-Geral da União............... p. 11 3.1.3 Fundamentação Legal........................ p. 12 3.2 Gestão da Segurança da Informação..................... p. 12 3.2.1 Informação.............................. p. 13 3.2.2 Classificação das Informações.................... p. 14 3.2.3 Segurança da Informação....................... p. 15 3.2.4 Segurança da Informação na Administração Pública Federal... p. 16 3.3 Trabalhos Correlatos............................. p. 18 3.4 Resumo.................................... p. 20 4 Auditoria Governamental no Sistema de Controle Interno p. 21 4.1 Ações de Controle............................... p. 21 4.2 Planejamento das Ações de Controle.................... p. 23 4.2.1 Hierarquizar Programas....................... p. 24 4.2.2 Detalhar Ações............................ p. 25 4.2.3 Identificar pontos críticos....................... p. 25 4.2.4 Elaborar Plano Operacional..................... p. 26 4.3 Execução das Ações de Controle....................... p. 26 4.3.1 Auditoria............................... p. 27 4.3.1.1 Classificação........................ p. 27 4.3.1.2 Formas de Execução.................... p. 28 4.3.1.3 Procedimentos e técnicas................. p. 29 4.3.2 Fiscalização.............................. p. 29 4.4 Resumo.................................... p. 30 5 A norma NBR ISO/IEC 27002 p. 31 5.1 Histórico.................................... p. 31

Sumário viii 5.2 Estrutura da Norma............................. p. 32 5.3 Requisitos de Segurança da Informação................... p. 33 5.4 Controles de Segurança da Informação................... p. 34 5.5 Resumo.................................... p. 36 6 Cenário de aplicação da norma NBR ISO/IEC 27002 p. 37 6.1 Cenário.................................... p. 37 6.2 Complementando os Procedimentos de Auditoria............. p. 40 6.3 Aplicação do cenário proposto em um caso real.............. p. 41 6.4 Resumo.................................... p. 43 7 Conclusões e Extensões p. 45 7.1 Contribuições................................. p. 45 7.2 Extensões................................... p. 46 Referências p. 48

ix Lista de Tabelas 1 Categorias de controles da norma NBR ISO/IEC 27002.......... p. 34 2 Comparativo entre um procedimento de auditoria e um objetivo de controle da norma NBR ISO/IEC 27002.................... p. 41 3 Síntese de procedimento de auditoria recomendado pelo Manual de Controle Interno para gestão patrimonial (CORREIA; SPINELLI, 2007)..... p. 42 4 Controles recomendados pela norma NBR ISO/IEC 27002 para gestão de ativos (ANBT, 2007)............................ p. 43 5 Controle de inventário de ativos proposto pela norma NBR ISO/IEC 27002 (ANBT, 2007).............................. p. 44

x Lista de Figuras 1 Principais deficiências de Segurança da Informação na Administração Pública Federal (TCU, 2008)......................... p. 17 2 Etapas de uma ação de controle....................... p. 22 3 Cenário de utilização da norma NBR ISO/IEC 27002 nas ações de controle p. 39

1 1 Introdução Em 2005, um estagiário de 18 anos que trabalhava no INSS conseguiu fraudar o sistema de benefícios da Previdência Social desviando um montante de R$ 3 milhões em 2 anos. O estagiário creditava valores em conta das avós, que eram sacados com procurações falsas, acessando o sistema com a senha da chefe do posto em que trabalhava (IstoÉ Dinheiro, 2005). Esse fato dá a dimensão dos riscos a que a Administração Pública Federal (APF) e a sociedade estão submetidas atualmente. Um número crescente de Sistemas de Informação e inovações tecnológicas tem sido introduzido nos processos e fluxos informacionais da APF. Visam aumentar a eficiência e o grau de execução dos objetivos e metas dos órgãos de governo. De outro lado também introduzem pontos de risco para a integridade das informações e vulnerabilidades ao processo de comunicação e preservação dos ativos das instituições. Para garantir a execução das metas e objetivos de forma íntegra, as organizações devem não somente investir em tecnologia e aprimoramento do fluxo de informações, mas também em segurança. Basicamente através da implementação de controles adequados à função de proteger as informações que transitam em seus processos. A APF conta com um Sistema de Controle Interno (SCI) que é responsável pela verificação da eficiência e eficácia dos sistemas de gestão e dos controles adotados nos órgãos do Poder Executivo Federal. A Controladoria-Geral da União (CGU) como seu órgão central tem a incumbência de orientar e supervisionar tecnicamente os órgãos e unidades que compõem o Sistema. Com os controles internos dessas organizações se preparando para serem mais efetivos também na gestão de segurança da informação, convém que as auditorias governamentais empreendidas pelo SCI incluam também a verificação de controles conforme as normas amplamente utilizadas na área. Várias normas sobre segurança da informação estão disponíveis para serem aplicadas dentre as quais a NBR ISO/IEC 27002 que apresenta um conjunto de controles que podem ser implementados em uma organização.

1 Introdução 2 O restante desta monografia está organizado da seguinte maneira: o capítulo 2 descreve os objetivos desta pesquisa e apresenta os aspectos metodológicos de produção deste trabalho; o capítulo 3 apresenta os conceitos básicos necessários para entendimento do texto, englobando os conceitos de controle e de segurança da informação; o capítulo 4 detalha os processos de verificação executados pelos órgãos de controle; o capítulo 5 apresenta o conteúdo da norma NBR ISO/IEC 27002 utilizada como insumo deste trabalho; o capítulo 6 apresenta o cenário proposto de inserção da norma no processo de auditoria dos órgãos de controle visando complementá-lo com os conceitos de segurança da informação; e, por fim, o capítulo 7 apresenta as conclusões desta pesquisa e relaciona um conjunto de trabalhos futuros que podem ser derivados desta monografia.

3 2 Requisitos Pré-pesquisa Este capítulo apresenta os requisitos desta pesquisa e está dividido da seguinte maneira: a seção 2.1 apresenta os objetivos, geral e específicos, pretendidos desta pesquisa; a seção 2.2 apresenta a justificativa de se estudar o tema proposto; e por fim, a seção 2.3 descreve a metodologia utilizada neste trabalho. 2.1 Objetivos 2.1.1 Objetivo geral Esta pesquisa se concentra em propor melhoria no Sistema de Controle Interno (SCI) com a incorporação de procedimentos de verificação da segurança da informação. O objetivo é empregar a norma NBR ISO/IEC 27002 para agregar segurança da informação aos processos de auditoria governamental. Dessa forma o SCI reunirá as condições para colaborar de forma mais efetiva na disseminação da cultura de segurança da informação entre os órgãos da APF. Por meio de seus trabalhos de auditoria, o SCI poderá acompanhar e orientar os demais órgãos a implementar controles adequados de proteção das informações. 2.1.2 Objetivos específicos Os objetivos específicos deste trabalho são: 1. Descrever o processo de auditoria empregado pelo Sistema de Controle Interno do Governo Federal; 2. Descrever a norma NBR ISO/IEC 27002 que apresenta código de prática para a gestão da segurança da informação;

2.2 Justificativa 4 3. Propor cenário de aplicação da norma NBR ISO/IEC 27002 no processo de auditoria do Sistema de Controle Interno do Governo Federal. 2.2 Justificativa A segurança da informação apesar de disciplina relativamente nova, tomou um espaço importante na agenda das organizações em geral. Seja em função do aumento da dependência delas em relação à tecnologia, seja pelo receio dos prejuízos advindos de sua má utilização. Entretanto na Administração Pública Federal (APF), a segurança da informação ainda não é tratada com a devida importância. Com exceção de alguns órgãos, especialmente aqueles que fornecem majoritariamente serviços de tecnologia da informação (como SER- PRO e DATAPREV), a maioria ainda está mais preocupada em utilizar seu orçamento disponível com os programas de governo do que despender recursos com iniciativas de segurança. Isso implica em grande risco para sociedade em geral, destinatária das ações de governo, vez que a execução de programas de governo deve estar acompanhada de ações que garantam sua integridade e efetividade. Colaborando com esse cenário, constata-se ainda a escassez de bons profissionais de segurança atuando no setor público. O currículo médio dos profissionais ainda não abrange com profundidade a área de segurança da informação. A preocupação com segurança não é prioritária na maioria das vezes, com reflexo na baixa carga horária destinada a treinamento sobre o assunto. Isso dificulta bastante a adoção de mecanismos de segurança pelos órgãos, elevando o nível de risco de quebras de integridade dos processos que lidam com informação. Os órgãos de governo responsáveis pelo controle devem estar atentos a essas dicotomias entre o avanço tecnológico e a proteção da integridade dos sistemas de gestão. É dever desses órgãos assessorar os dirigentes nas atividades de implantação de controles que garantam a eficiência e integridade da gestão. Nesse contexto, as recomendações dos órgãos de controle elaboradas a partir de suas auditorias devem estar em linha com as boas práticas da área. Devem acompanhar as recomendações já existentes e atestadas pelo mercado. Justifica-se assim a necessidade de se alinhar os procedimentos adotados nas auditorias com as normas que explicitam as boas práticas em segurança da informação. Essa integração entre as normas em segurança da informação e os procedimentos de auditoria pode ajudar a subsidiar o controle interno

2.3 Metodologia 5 da APF com as técnicas mais modernas, o que é fator crítico de sucesso em um ambiente que sofre mudanças com grande freqüência. Além disso, a verificação das competências dos órgãos de controle pode auxiliar na reformulação dos normativos, que hoje não contemplam explicitamente o conceito de segurança da informação, para reafirmar a posição do Controle como órgão fomentador das atividades de segurança. 2.3 Metodologia 2.3.1 Caracterização da pesquisa A metodologia utilizada neste trabalho é classificada como pesquisa qualitativa e exploratória. Tem como objetivo proporcionar maior familiaridade com o problema, com vistas a torná-lo mais explícito (GIL, 1999; SANTOS, 2004). Este trabalho tratou de explorar o processo de auditoria governamental com o objetivo de identificar pontos onde as norma de segurança da informação podem atuar de forma complementar. Esta pesquisa dividiu-se em três etapas. A primeira mapeou e descreveu o processo de auditoria governamental empregado pelo Sistema de Controle Interno (SCI). O método utilizado nessa etapa foi a pesquisa bibliográfica aos normativos legais que regulam a atuação do SCI e aos manuais de auditoria da Controladoria-Geral da União (CGU). Foram detalhadas as etapas do processo de auditoria, seus produtos decorrentes e as formas de execução dos procedimentos de verificação. O processo de auditoria foi sistematizado a partir do estudo das normas que o regulam e desenhado para evidenciar os fluxos de informação entre suas etapas. A segunda etapa detalhou a norma NBR ISO/IEC 27002 que trata de código de prática para a gestão da segurança da informação. O método utilizado foi também a pesquisa bibliográfica, agora ao texto da norma e a outras referências sobre a evolução da norma. Foram descritos a aplicação da norma, os objetivos de controle e a diretrizes de implementação dos controles da norma. A terceira etapa identificou oportunidades de inserção de conceitos de segurnaça da informação no processo de auditoria do SCI. Por meio da análise dos produtos elaborados nas etapas anteriores, desenhou-se um cenário de complementação do processo de auditoria com os controles da norma NBR ISO/IEC 27002. O cenário identifica os momentos do processo de auditoria em que a norma pode ser agregada e também quais elementos da norma podem contribuir de forma mais efetiva. Nessa etapa houve a necessidade

2.3 Metodologia 6 de pesquisa documental a procedimentos de auditoria utilizados pela CGU e também a relatórios de auditoria. A análise crítica desse material subsidiou a elaboração de exemplos de procedimento de auditoria complementado com controles da norma e de aplicação do cenário proposto a um caso real de auditoria.

7 3 Revisão de Literatura e Fundamentos Este capítulo apresenta os conceitos básicos para a compreensão desta monografia e relaciona um conjunto de trabalhos correlatos ao tema em pesquisa. O capítulo está dividido da seguinte forma: a seção 3.1 desenvolve o conceito de controle e como essa atividade é desempenhada no Governo Federal; a seção 3.2 apresenta os conceitos de segurança da informação e um panorama do seu estágio de implementação nos órgãos do Governo; por fim, a seção 3.3 relaciona alguns trabalhos correlatos ao assunto desenvolvido nesta monografia. 3.1 O Controle na Administração Pública 3.1.1 A função Controle Segundo De Plácido e Silva (2006) o vocábulo controle, derivado do francês contrôler (registrar, inspecionar, examinar) ou do italiano controllo (registro, exame), era utilizado para expressar técnica comercial de inspeção ou exame, que se processava nos papéis ou nas operações, registradas a cada instante, nos estabelecimentos comerciais. Entretanto, para melhor entender e situar a importância da função de controle, tornase necessário esclarecer os fundamentos que orientam a atividade de administração. A administração de uma entidade deve estar estruturada e organizada de acordo com princípios científicos aplicáveis às funções básicas que a compõem, para melhor realizar os seus planos e alcançar os objetivos que constituem a razão da sua existência. Segundo a teoria, a administração deve atender, particularmente, aos princípios de planejamento, organização, direção e controle (CHIAVENATO, 2001; TAYLOR, 1995; FAYOL, 1994). O controle constitui, portanto um dos princípios basilares da administração. É a função administrativa que monitora e avalia as atividades e resultados alcançados para assegurar que o planejamento, a organização e a direção sejam bem-sucedidas.

3.1 O Controle na Administração Pública 8 Por meio da função de controle as demais funções recebem informações de retroalimentação para aumentar a probabilidade de que os resultados planejados sejam atingidos da melhor maneira. 3.1.1.1 Classificação Existem várias formas de classificar a função de controle. As mais importantes estão listadas abaixo: 1. Quanto ao sujeito: Estatal ou social; 2. Quanto ao órgão: Administrativo, Legislativo ou Judiciário; 3. Quanto ao momento: Prévio, concomitante ou posterior; 4. Quanto à localização: Interno ou externo; No âmbito governamental, o Controle Interno é o controle exercido diretamente pelos órgãos que praticam os atos administrativos e por órgãos específicos de cada poder enquanto Controle Externo é controle exercido pelo poder legislativo com auxílio dos Tribunais de Contas sobre os atos administrativos de todos os poderes. Em especial, o Controle Interno faz parte do tema desta pesquisa e será detalhado nas seções a seguir. 3.1.1.2 Controle Interno O controle interno faz parte do plano de organização da administração e tem os mesmos objetivos. Ocupa-se essencialmente do processamento de informações que retroalimentem a função de direção, concorrendo para a correta tomada de decisões; coexiste com as demais funções da administração e com elas, por vezes, se confunde, sendo cada qual indispensável para o funcionamento do sistema que formam, de tal maneira que a falha em uma delas pode prejudicar o funcionamento de todo o conjunto. Almeida (1996) define o conceito de Controle Interno para o universo privado, mas que pode ser aplicado também, por analogia, à Administração Pública: O controle interno representa em uma organização o conjunto de procedimentos, métodos ou rotinas com os objetivos de proteger os ativos, produzir dados contábeis confiáveis e ajudar a administração na condução ordenada dos negócios da empresa.

3.1 O Controle na Administração Pública 9 A Organização Internacional de Entidades de Fiscalização Superiores (INTOSAI), em seu documento Padrões de Controles Internos para o Setor Público (INTOSAI, 2004) define Controle Interno como: Um processo fundamental efetuado por todos em uma entidade, projetado para identificar riscos e fornecer garantia razoável de que, ao se buscar cumprir a missão da entidade, os seguintes objetivos gerais serão atingidos: executar operações de forma organizada, ética, econômica, eficiente e eficaz; estar em conformidade com as leis e os regulamentos aplicáveis; salvaguardar recursos contra perda, abuso e dano; e cumprir as obrigações de accountability. A garantia é razoável porque os controles dependem de uma vantajosa relação de custo e benefício (todo controle tem um custo, que deve ser inferior à perda decorrente da consumação do risco controlado) e da inexistência de conluio entre empregados, e devido aos eventos externos estarem além do controle de qualquer organização. Tais fatos constituem ameaças aos objetivos dos controles. Segundo Piscitelli (1998), os Controles Internos têm como objetivos: 1. os aspectos eminentemente contábeis, formais e legais, revisando e/ou verificando as operações; 2. o aspecto da eficiência, que concerne aos meios empregados, verificando os recursos utilizados para a consecução dos objetivos da organização; 3. o aspecto da eficácia, verificando o produto, os programas e os fins perseguidos; e 4. o julgamento da própria administração, disponibilizando e tornando transparente uma prestação de contas de qualidade e os resultados. Na análise de Sanchez (2003), o primeiro objetivo diz respeito ao controle formal no sentido de verificar se os gastos foram feitos em conformidade com as leis e regulamentos aplicáveis à entidade e à sua área de atuação. O segundo envolve o controle substantivo de contas, contra o desperdício, a fraude e o abuso de poder. O terceiro refere-se ao controle de gestão, ou seja, a avaliação do desempenho da organização. Enquanto o quarto objetivo visa dar subsídios ao referido controle vertical. Em resumo, o Controle Interno é crítico para o sucesso de qualquer organização. Quando é efetivo, o nível de gestão tem razoável garantia quanto ao alcance das metas e objetivos da organização.

3.1 O Controle na Administração Pública 10 3.1.2 Sistema de Controle Interno Vieira (2008), ao citar que sistema é o conjunto de partes coordenadas (articuladas entre si) com vista à consecução de objetivos bem determinados define Sistema de Controle Interno como o conjunto de unidades técnicas, articuladas a partir de um órgão central de coordenação, orientado para o desempenho das atribuições de controle interno indicados na Constituição e normatizados em cada nível de governo. Os Sistemas de Controle Interno existem para auxiliar as organizações a atingir suas metas e objetivos. Permitem ao nível de gestão lidar com mudanças nos ambientes interno e externo. Também promovem eficiência, reduzem o risco de perdas e ajudam a assegurar confiabilidade às declarações financeiras e conformidade com leis e regulações. O Sistema de Controle Interno (SCI) é constituído de vários subsistemas ou unidades que devem atuar de forma integrada e harmônica e não deve ser confundido com o sistema contábil e financeiro que representa apenas um dos instrumentos do controle interno; também não é sinônimo de auditoria interna, pois esta pertence ao Sistema e equivale à atividade desenvolvida por unidade especializada quanto à revisão e apreciação da atuação dos controles internos, os quais servem de base para toda a atividade de controle na Administração Pública. O SCI precisa funcionar integrado e possuir uma unidade para coordenar todos os controles internos que o formam. Silva (2004) ensina que, na estrutura integrada, as delegações funcionam nos órgãos e são subordinadas técnica e administrativamente à unidade coordenadora central. Dessa forma, a unidade de comando administrativo assegura o comando técnico; possibilita maior especialização devido à unidade de quadro de pessoal técnico; uniformiza de procedimentos; viabiliza maior velocidade na obtenção de informações; e garante adequada autonomia técnica, indispensável ao exercício da função de controle. 3.1.2.1 Finalidades Segundo a Constituição Federal (BRASIL, 1988), o Sistema de Controle Interno do Poder Executivo Federal tem como finalidades: 1. avaliar o cumprimento das metas previstas no Plano Plurianual, a execução dos programas de governo e dos orçamentos da União; 2. comprovar a legalidade e avaliar os resultados, quanto à eficácia e à eficiência da

3.1 O Controle na Administração Pública 11 gestão orçamentária, financeira e patrimonial nos órgãos e entidades da Administração Pública Federal, bem como da aplicação de recursos públicos por entidades de direito privado; 3. exercer o controle das operações de crédito, avais e garantias, bem como dos direitos e haveres da União; e 4. apoiar o controle externo no exercício de sua missão institucional. 3.1.2.2 Controladoria-Geral da União A Controladoria-Geral da União (CGU) é o órgão do Governo Federal responsável por assistir direta e imediatamente o Presidente da República quanto aos assuntos que, no âmbito do Poder Executivo Federal, sejam relativos à defesa do patrimônio público e ao incremento da transparência da gestão, por meio das atividades de controle interno, auditoria pública, correição, prevenção e combate à corrupção e ouvidoria. No Poder Executivo Federal, a CGU atua como órgão central, exercendo supervisão técnica dos órgãos que compõem o Sistema de Controle Interno e o Sistema de Correição e das unidades de ouvidoria, prestando a necessária orientação normativa. A CGU foi criada por meio da Medida Provisória n 2.143-31, 2 de abril de 2001, com a denominação inicial de Corregedoria-Geral da União. Teve, originalmente, como propósito declarado o de combater, no âmbito do Poder Executivo Federal, a fraude e a corrupção e promover a defesa o patrimônio público. Quase um ano depois, o Decreto n 4.177, de 28 de março de 2002, integrou a Secretaria Federal de Controle Interno (SFC) e a Comissão de Coordenação de Controle Interno (CCCI) à estrutura da então Corregedoria-Geral da União. O mesmo Decreto transferiu para a Corregedoria-Geral da União as competências de Ouvidoria-Geral, até então vinculadas ao Ministério da Justiça. A Medida Provisória n 103, de 1 de janeiro de 2003, convertida na Lei n 10.683, de 28 de maio de 2003, alterou a denominação para Controladoria-Geral da União, assim como atribuiu ao seu titular a denominação de Ministro de Estado do Controle e da Transparência. Mais recentemente, o Decreto n 5.683, de 24 de janeiro de 2006, alterou a estrutura da CGU, conferindo maior organicidade e eficácia ao trabalho realizado pela instituição. Efetivou-se, desta forma, o agrupamento das principais funções administrativas de

3.2 Gestão da Segurança da Informação 12 controle, correição, prevenção e ouvidoria, consolidando-as em uma única estrutura funcional. 3.1.3 Fundamentação Legal O princípio de controle da Administração Pública como se conhece hoje foi introduzido pela Reforma Administrativa através da Constituição de 1967 e regulamentada pelo Decreto-Lei nº 200/1967. Esse Decreto-Lei dedica um capítulo inteiro para tratar do controle das atividades da Administração Federal. Mais recentemente a Constituição de 1988 institui os Sistemas de Controle Interno de cada Poder e atribui ao Congresso Nacional, com auxílio do Tribunal de Contas da União, a responsabilidade pelo controle externo. Em 2000, o Decreto nº 3.591/2000 dispõe sobre as finalidades, atividades, estrutura e competências do Sistema; Em seguida, a Lei nº 10.180/2001 organiza e disciplina os sistemas do ciclo de gestão governamental, entre os quais figura o Sistema de Controle Interno. Ainda em 2001 a Secretaria Federal de Controle Interno, órgão da estrutura da CGU, edita a Instrução Normativa nº 01/2001 para definir diretrizes, princípios, conceitos e normas técnicas para a atuação do Sistema de Controle Interno do Poder Executivo Federal. Na próxima seção serão apresentados os conceitos básicos de gestão da segurança da informação com o intuito de agregá-los aos procedimentos executados pelo Sistema de Controle Interno. 3.2 Gestão da Segurança da Informação Tradicionalmente, as organizações dedicam grande atenção aos seus ativos tangíveis físicos e financeiros, mas relativamente pouca atenção aos ativos de informação que possuem. Em anos recentes, contudo, a informação assumiu importância vital para manutenção dos negócios, marcados pela dinamicidade da economia globalizada e permanentemente on-line, de tal forma que, atualmente, as organizações dependem, em maior ou menor grau, da tecnologia da informação. Imaginar um comprometimento dos sistemas de informação por problemas de segurança nesse contexto pode causar grandes prejuízos ou mesmo invibializar a missão de uma instituição.

3.2 Gestão da Segurança da Informação 13 3.2.1 Informação A informação é o dado com uma interpretação lógica ou natural dada a ele por seu usuário (REZENDE; ABREU, 2000). Constitui um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização. A sua importância e o nível de interconectividade atuais expõem a informação a um crescente número e a uma grande variedade de ameaças e vulnerabilidades. A informação pode existir em diversas formas. Impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente. Independentemente da forma como as informações são representadas, elas percorrem um ciclo de vida que pode ser definido por quatro fases (SÊMOLA, 2003): ˆ Manuseio: é a fase na qual a informação é originada e manejada, seja na digitação, folheamento de papéis, ou até mesmo na utilização de uma senha, por exemplo. ˆ Armazenamento: é a continuidade da fase anterior, ou seja, depois de manipulada a informação deve seguir um caminho, por exemplo: gravação em uma mídia, preservação em um armário de arquivo ou depósito em gaveta para eventos futuros. ˆ Transporte: seguido do armazenamento esta fase representa o instante em que a informação é encaminhada, seja via e-mail, fax, ou mesmo uma informação confidencial que deve ser remetida pelo telefone. ˆ Descarte: este é o momento do destino que a informação irá tomar, seja para a lixeira (material impresso), ou então um arquivo que vai ser excluído do computador, além de outros. O controle da informação é um fator de sucesso crítico para os negócios e sempre teve fundamental importância para as corporações do ponto de vista estratégico e empresarial (SYNNATT, 1987). Dispor da informação correta, na hora adequada, significa tomar uma decisão de forma ágil e eficiente. Com a evolução das tecnologias e dos sistemas, a informação ganhou mobilidade, exigiu estratégias de inteligência competitiva e se incorporou definitivamente aos processos de gestão. Por essas razões deve ser administrada em seus particulares, diferenciada e salvaguardada (LAUREANO, 2007).

3.2 Gestão da Segurança da Informação 14 3.2.2 Classificação das Informações Nem toda informação é crucial ou essencial a ponto de merecer cuidados especiais. Por outro lado, determinada informação pode ser tão vital que o custo de sua integridade, qualquer que seja, ainda será menor que o custo de não dispor dela adequadamente. É importante classificar a informação em níveis de prioridade, respeitando a necessidade de cada empresa assim como a importância da classe de informação para a manutenção das atividades da empresa. Ferreira (FERREIRA; ARAúJO, 2006) apresenta uma classificação segundo o grau de importância dividida em três grupos: ˆ Informações Públicas: sua divulgação é livre. Não exige controle. Por exemplo: folhetos comerciais para o público em geral, ou dados divulgados pela imprensa e Internet. ˆ Informações de Uso Interno: não devem ser expostas fora da empresa. Devem ser armazenadas em locais que não permitam o acesso público. Por exemplo: relatórios, pareceres, documentos e processos de negócio que interessam apenas aos funcionários da empresa. ˆ Informações Confidenciais: exigem um cuidadoso esforço de proteção, uma vez que sua divulgação pode vir a causar prejuízos na empresa. Devem ser armazenadas em locais de máxima proteção, trancado e com acesso restrito. Quando elas estiverem contidas em meios eletrônicos, é imprescindível que sejam utilizados meios seguros para seu armazenamento, de preferência equipados com programas criptográficos e senhas de acesso. Por exemplo: contratos, senhas, balanços, dados cadastrais de clientes e funcionários e informações que devem ser protegidas por obrigatoriedade legal. Entretanto, independentemente da relevância ou tipo da informação, a gestão dos dados organizacionais é estratégica, pois possibilita o apoio para a tomada de decisões em qualquer âmbito institucional. Algumas informações são centrais para organização e a divulgação parcial ou total destas pode alavancar um número de repercussões cuja complexidade pode ser pouco ou nada administrável pela organização com conseqüências possivelmente nefastas. O conceito de engenharia da informação - que é um conjunto empresarial de disciplinas automatizadas, dirigido ao fornecimento da informação correta para a pessoa certa no

3.2 Gestão da Segurança da Informação 15 tempo exato (MARTIN, 1991; FELICIANO NETO; FURLAN; HIGO, 1988) - já demonstrava a importância da segurança da informação para as instituições. Conforme Crosby (1992), a qualidade dos processos custa dinheiro, mas a falta dela custa muito mais. Estabelecendo uma analogia, a segurança custa dinheiro mas a sua ausência poderá custar muito mais. 3.2.3 Segurança da Informação Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio. A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio (ABNT, 2005). É evidente que os negócios estão cada vez mais dependentes das tecnologias e estas precisam estar de tal forma a proporcionar confidencialidade, integridade e disponibilidade - que conforme ABNT (2005), Tipton e Krause (2005), Albuquerque e Ribeiro (2002), são os princípios básicos para garantir a segurança da informação - das informações: ˆ Confidencialidade: segurança de que a informação pode ser acessada apenas por quem tem autorização. ˆ Integridade: certeza da precisão da informação. ˆ Disponibilidade: garantia de que os usuários autorizados tenham acesso a informação e aos recursos associados, quando necessário. O item integridade não pode ser confundido com confiabilidade do conteúdo (seu significado) da informação. Uma informação pode ser imprecisa, mas deve permanecer íntegra (não sofrer alterações por pessoas não autorizadas). A segurança visa também aumentar a produtividade dos usuários através de um ambiente mais organizado, proporcionando maior controle sobre os recursos de informática, viabilizando até o uso de aplicações de missão crítica.

3.2 Gestão da Segurança da Informação 16 A combinação em proporções apropriadas dos itens confidencialidade, disponibilidade e integridade facilitam o suporte para que as empresas alcancem os seus objetivos, pois seus sistemas de informação serão mais confiáveis. Outros autores (DIAS, 2000; WADLOW, 2000; TIPTON; KRAUSE, 2005; ALBUQUERQUE; RIBEIRO, 2002; SÊMOLA, 2003) defendem que para uma informação ser considera segura, o sistema que o administra ainda deve respeitar: ˆ Autenticidade - Garante que a informação ou o usuário da mesma é autêntico; Atesta com exatidão, a origem do dado ou informação; ˆ Não repúdio - Não é possível negar (no sentido de dizer que não foi feito) uma operação ou serviço que modificou ou criou uma informação; Não é possível negar o envio ou recepção de uma informação ou dado; ˆ Legalidade - Garante a legalidade (jurídica) da informação; Aderência de um sistema à legislação; Característica das informações que possuem valor legal dentro de um processo de comunicação, onde todos os ativos estão de acordo com as cláusulas contratuais pactuadas ou a legislação política institucional, nacional ou internacional vigentes. ˆ Privacidade - Foge do aspecto de confidencialidade, pois uma informação pode ser considerada confidencial, mas não privada. Uma informação privada deve ser vista / lida / alterada somente pelo seu dono. Garante ainda, que a informação não será disponibilizada para outras pessoas (neste caso é atribuído o caráter de confidencialidade a informação); É a capacidade de um usuário realizar ações em um sistema sem que seja identificado. ˆ Auditoria - Rastreabilidade dos diversos passos que um negócio ou processo realizou ou que uma informação foi submetida, identificando os participantes, os locais e horários de cada etapa. Consiste no exame do histórico dos eventos dentro de um sistema para determinar quando e onde ocorreu uma violação de segurança. 3.2.4 Segurança da Informação na Administração Pública Federal A segurança da informação vem ganhando espaço nas agendas das organizações. Apesar disso, o cenário ainda é tímido na Administração Pública Federal como revela pesquisa recente do Tribunal de Contas da União (TCU). Cerca de 330 órgãos/entidades

3.2 Gestão da Segurança da Informação 17 foram consultados sobre governança da tecnologia da informação e também segurança da informação. As respostas fornecidas pelos órgãos/entidades pesquisados às questões sobre o tratamento dado à segurança das informações sob sua responsabilidade indicam que é preciso mais atenção ao tema. Dentre as nove questões sobre esse assunto, apenas uma obteve mais de 50% de resposta positiva. A figura 1 resume as deficiências encontradas no tratamento de segurança da informação, indicando para cada questão qual o percentual de órgãos/entidades que informaram não executar o controle associado. O resultado preocupa, pois a própria prestação do serviço de uma instituição pública aos cidadãos depende da confiabilidade das informações por ela tratadas e ofertadas (TCU, 2008). Figura 1: Principais deficiências de Segurança da Informação na Administração Pública Federal (TCU, 2008) Da figura 1 podem ser destacados alguns pontos para a reflexão sobre os resultados da pesquisa: ˆ 64% dos órgãos/entidades pesquisadas declarou não possuir política de segurança da informação (PSI). Isso demonstra que a gestão da segurança da informação é incipiente ou inexistente na maioria dos órgãos, vez que a PSI é um dos primeiros documentos elaborados no processo de segurança da informação; ˆ 80% dos órgãos/entidades pesquisadas declarou não efetuar a classificação de suas informações. Outro dados preocupante, já que junto com a PSI, o processo de classificação de informações é um dos pilares da segurança da informação;