trabalho de conclusÃo de curso artigo cientÍfico pereira - carla giovanna - ivan...trabalho de...
TRANSCRIPT
TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO
1
Os desafios da Governança de Tecnologia da Informação na Administração Pública
Federal: um enfoque na segurança da informação e nas pessoas
Alexandre Pereira da Rocha – [email protected] – UFF/ICHS
Carla Giovanna Costa de Castro – [email protected] – UFF/ICHS
Ivan Monteiro da Silva Júnior – [email protected] – UFF/ICHS
Resumo
O objetivo deste artigo é investigar o processo de desenvolvimento da Governança de
Tecnologia da Informação na Administração Pública Federal, com foco na segurança da
informação e no risco do comportamento humano no vazamento de informações relevantes para
o Estado e para a sociedade. O método utilizado para o estudo foi uma pesquisa documental
aplicada na análise dos Levantamentos do Tribunal de Contas da União (TCU) dos anos de
2007, 2010, 2012 e 2014, avaliando o grau de maturidade da segurança da informação nas
instituições públicas federais. Como resultado, verificou-se que apesar da evolução dos índices
na área de segurança da informação, constantes nos relatórios resultantes dos Levantamentos
do TCU, a situação está longe do ideal. Concluímos que para uma visão mais ampla do
processo, o TCU deveria avaliar ações mais específicas relativas à influência do risco humano
para segurança da informação na Administração Pública Federal, engajando todos os
envolvidos no uso da informação, com foco no usuário final dos sistemas informatizados.
Palavras-chave: Administração Pública, Segurança da Informação, Comportamento humano
1 – Introdução
Na concepção de Albertin e Pinochet (2010, p.1), “... a informação é de extrema
importância para a organização e para seus negócios, assim como para seus concorrentes ...”.
As organizações, sejam elas públicas ou privadas, compreendem que com os avanços
tecnológicos a informação tornou-se primordial no seu processo decisório. Na Administração
Pública Federal (APF) o reflexo dessa constatação está na preocupação constante com
pesquisas, a exemplo da Pesquisa Nacional por Amostra de Domicílio (PNAD) e do Censo,
ambos gerenciados pelo Instituto Brasileiro de Geografia e Estatística (IBGE), que reúnem
informações a partir do diagnóstico populacional com o fim de definição de políticas públicas.
Assim, as informações precisam ser adquiridas, tratadas e compiladas por meio de um sistema
de informação confiável e que possibilite uma visão global das organizações, usualmente
inseridas em um sistema aberto de administração, permitindo aos gestores ter assertividade nas
suas decisões, subsidiando as mudanças necessárias, bem como, a inovação em seus processos.
Portanto, a tomada de decisão no mundo corporativo e governamental se subsidia num
sistema de informação sinérgico, onde todos os setores e instâncias da organização convergem
para a estratégia organizacional. Nas palavras Albertin e Pinochet (2010, p.2), “o exercício do
poder e a tomada de decisão envolvem as dimensões técnica, administrativa e política”. Assim,
faz-se necessário investimento em Tecnologia da Informação (TI) com mudança de foco por
parte da alta administração, entendendo a TI como um diferencial competitivo.
A TI vem evoluindo e transformando a sociedade através do seu uso. Para Cepik e
Canabarro (2014, p. 16): “... a TI é a ferramenta fundamental para a transformação da
TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO
2
administração pública, deixando de ser objeto apenas de gestão para ser objeto de governança”.
Enquanto a gestão de TI está focada no presente e na eficiência das questões internas, a
governança de TI abrange, de forma ampla, as demandas e objetivos presentes e futuros da
administração pública.
A ISO/IEC 17799 (ABNT, 2005) une as duas vertentes apresentadas até aqui: a
essencialidade da informação para as organizações com foco na segurança da informação.
Segundo a Norma,
A segurança da informação é importante para os negócios, tanto do setor público como
do setor privado, e para proteger as infra-estruturas críticas. Em ambos os setores, a
função da segurança da informação é viabilizar os negócios como o governo
eletrônico (e-gov) ou o comércio eletrônico (e-business), e evitar ou reduzir os riscos
relevantes. A interconexão de redes públicas e privadas e o compartilhamento de
recursos de informação aumentam a dificuldade de se controlar o acesso. A tendência
da computação distribuída reduz a eficácia da implementação de um controle de
acesso centralizado. (ABNT, 2005, p.X).
Reafirmando os fatores críticos de sucesso da segurança de informação para o negócio
das instituições, Ferreira (2003 apud ALBERTIN; PINOCHET, 2010) destaca que é necessário:
“[...] entender o contexto atual da segurança da informação no ambiente corporativo, ou seja, o
ambiente comum às empresas, composto por três aspectos básicos: pessoas, processos e
tecnologia”, sendo as pessoas o foco do nosso estudo.
A visão que todos temos é de que a segurança da informação se restringe ao ambiente
computacional, no entanto essa visão é real em parte. Albertin e Pinochet (2010, p. 81),
asseguram que “[...] a segurança é um conceito que vai muito além disso. É expectativa de todos
que a informação armazenada em um sistema computacional permaneça lá, sem que as pessoas
não autorizadas tenham acesso ao conteúdo”. Mas não é isso que ocorre na prática.
É público e notório que o vazamento de informações confidenciais de um Estado ou de
cidadãos, pode acarretar graves consequências nas relações internacionais. Vide o emblemático
caso do ex-administrador de sistemas da Agência Central de Inteligência dos Estados Unidos
(CIA), Edward Joseph Snowden, que divulgou na rede mundial de computadores dados dos
programas de vigilância global da Agência Nacional de Segurança dos Estados Unidos (NSA),
causando desestabilização na relação entre os Estados Unidos com os demais países
monitorados pelo sistema, inclusive o Brasil, conforme ampla divulgação nos meios de
comunicação nacionais e internacionais à época dos vazamentos, ano de 2013.
Dentro dessa lógica aplicada entre informação e segurança, Albertin e Pinochet (2010,
p. 83) concluem, “A definição de segurança da informação pode ser analisada como uma fonte
de poder, pois, no mundo moderno, quem possui informação, possui poder”. Daí surge a
conexão apresentada pelos autores de que o investimento em tecnologia, antes visto como um
diferencial competitivo, hoje se volta para a tecnologia da informação que além de ser um
diferencial competitivo é ainda importante no processo decisório e sobrevivência das
organizações.
Aliado a esse conceito, a segurança da informação surge como ponto preponderante para
as organizações prescindindo de uma política de segurança da informação eficaz. Na visão de
Albertin e Pinochet (2010, p. 84), “Uma política de segurança da informação possui diretrizes,
TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO
3
a fim de determinar a estrutura da segurança da informação e a orientação necessária ao
desenvolvimento do trabalho”.
Para os mesmos autores, a política de segurança da informação requer:
“O conhecimento das regras de acesso, bem como a responsabilidade sobre a
manipulação, devem ser permanentemente atualizados e conhecidos pelos usuários,
assim como a existência de regras e de contratos definindo estas, para o cumprimento
dos requisitos da política de segurança, tanto para o quadro funcional interno, como
para os prestadores de serviço” (ALBERTIN; PINHOCHET, 2010, p. 85).
Vislumbrando o cenário apresentado até aqui, a bibliografia demonstra que os avanços
tecnológicos e a globalização inferem a segurança como fator competitivo das organizações
sendo segurança fator de confiança, ou seja, credibilidade de imagem das organizações.
No entanto, essa relação de confiança se estende aos funcionários que utilizam os
sistemas informatizados e tem acesso às informações da organização. A partir desses conceitos
é que consideramos a relevância da informação e como a Governança de TI administra e
controla tais informações. Em consonância com o entendimento de Albertin e Pinochet (2010,
p.109), de que “apesar de os controles de segurança tecnológica serem eficientes no combate a
vários tipos de riscos na conexão à Internet, o elemento humano é sempre um componente de
suprema importância na solução de questões de segurança”.
Trazendo essa questão para o ambiente governamental, observamos que para que o
Estado tenha garantida a segurança e o sigilo de seus dados, para a contínua prestação de
serviços públicos, e para que tenha credibilidade junto à sociedade, a APF deve ter um projeto
de Governança de TI com destaque para a segurança da informação, visando administrar de
forma transparente, estruturada e controlada, focando no seu maior risco: as pessoas,
consideradas o “elo frágil” da segurança da informação (BEAL, 2005).
Frente ao exposto, definimos como objetivo da pesquisa investigar o processo de
Governança de Tecnologia da Informação na Administração Pública Federal, verificando o
grau de relevância da segurança da informação para as instituições públicas com foco no
comportamento humano, avaliando ainda a adoção de medidas para diminuir esses riscos. Para
cumprir essa meta, optamos pelo método da pesquisa documental por compreendermos ser a
que melhor se aplica a materiais ainda não tratados, e no caso, serão utilizados documentos de
segunda mão, como podem ser caracterizados os Levantamentos do TCU dos anos de 2007 a
2014, que avaliam todo o processo de governança de TI na APF. Desde os resultados obtidos,
esperamos contribuir com o incremento na produção do material analisado e, por consequência
com a construção dos processos de segurança da informação que impactem positivamente no
usuário final dos sistemas informatizados da APF.
2 – Referenciais Teóricos
Com o processo de globalização e avanços tecnológicos, o mundo se insere na sociedade
da informação. Visando dar transparência e accountability aos seus procedimentos, as
TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO
4
instituições aceleraram o processo de Governança Corporativa, tendo a Governança de TI como
forma de controle e consistência de dados (TAKASHI, 2000). Essa necessidade advém, no caso
da APF, do novo olhar da sociedade que passa de mero expectador das ações do Estado para a
figura de eleitores cidadãos Esse empoderamento trouxe novos paradigmas no acesso à
informação, como a preocupação com segurança da informação, objetivando proteger o
ambiente computacional de ameaças causadas, entre outras, pelo fator humano diante das
vulnerabilidades do sistema
2.1 – Governança de TI
A governança corporativa surge no ambiente de negócio marcado pelas mudanças
ocorridas pelo advento da Sociedade do Conhecimento, que gerou uma maior busca por
informação por parte dos investidores e stakeholders, com vistas à redução de riscos nos
sistemas organizacionais com tendência mais aberta. Como suporte a essa demanda, a
governança de TI, além de garantir a transparência das informações, traz em seu escopo uma
série de fatores que caracterizam sua aplicação, como um mercado mais competitivo, hostil a
práticas fraudulentas e maquiagens de contas, novos concorrentes em nível global com produtos
a baixo custo. No caso Brasil, o crescimento econômico e a sua consolidação, bem como
inserção no mercado mundial fez surgir uma nova classe média, sendo esse o mote da nova
forma de gestão, com maior visibilidade e “antenada” com os avanços tecnológicos
(FERNANDES; ABREU, 2014).
Governança de TI é entendida como “o sistema pelo qual o uso atual e futuro da TI são
dirigidos e controlados. Significa avaliar e direcionar o uso da TI para dar suporte à organização
e monitorar seu uso para realizar planos. Inclui a estratégia e as políticas de uso da TI dentro da
organização” ISO/IEC 38500 (ABNT, 2009).
Na APF brasileira, o modelo de governança em TI teve seu marco na década de 1990,
com a implantação do modelo de governo gerencial, profundamente influenciado pelas práticas
neoliberais em curso, tendo seu modelo de gestão implementado pelo presidente Fernando
Henrique Cardoso (1994-2002). O primeiro passo foi à implantação do Sistema de
Administração de Recursos de Informação e Informática (SISP), pelo Decreto nº. 1.048, de 21
de janeiro de 1994 (BRASIL, 1994), revogado pelo Decreto nº. 7579, de 11 de outubro de 2011
(BRASIL, 2011), criado com o objetivo de organizar a operação, controle e supervisão e
coordenação dos recursos de tecnologia da informação da APF. Conforme artigo 2º, do mesmo
Decreto, o SISP tem dentre suas finalidades: “I - assegurar ao Governo Federal suporte de
informação adequado, dinâmico, confiável e eficaz;” bem como, “ II - facilitar aos interessados
a obtenção das informações disponíveis, resguardados os aspectos disponibilidade, integridade,
confidencialidade e autenticidade, bem como restrições administrativas limitações legais;”
(BRASIL, 2011)
No âmbito do SISP, por meio da Secretaria de Tecnologia da Informação do Ministério
do Planejamento, Orçamento e Gestão, foi elaborado o Guia de Governança de Tecnologia da
Informação e Comunicação (Gov TIC), no ano de 2015, com orientações aos órgãos e entidades
pertencentes ao Sistema acerca da evolução da Governança de TI em suas organizações. O Guia
apresenta um modelo referencial constituído por um conjunto de dez práticas relacionadas à
Governança de Tecnologia da Informação e Comunicação (TIC), visando orientar as
instituições no desenvolvimento e aperfeiçoamento de governança de TI, impulsionando o
TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO
5
papel da alta administração na área de governança e a otimização dos recursos das organizações
(BRASIL, 2015).
Como órgão de controle externo da APF, o TCU, através da Secretaria de Fiscalização
de TI (SeFTI), realiza Levantamentos de Governança de TI em instituições públicas federais,
com a finalidade de fiscalizar a gestão dos recursos de TI, bem como, fomentar melhorias,
modernização e aperfeiçoamento nas práticas de governança de TI no âmbito da APF (TCU,
2010).
2.2 – Sociedade da Informação
Desde as ideias apresentadas anteriormente, compreende-se que governança de TI é
fundamental para uma gestão da informação de maneira eficaz. Em consonância com o
pensamento de Werthein (2000), a informação como matéria-prima é fruto de uma revolução
tecnológica, social, política e econômica que transformou todas as relações do mundo moderno.
E a importância da governança de TI se dá, justamente, na maneira pela qual dependemos da
informação como insumo para organização desse mundo.
No entendimento de Santos e Carvalho (2009), a existência de uma sociedade
dependente da informação se dá a partir de uma contextualização histórica e apresenta-se
através dos marcos das três revoluções que transformaram a sociedade moderna, a saber: 1) no
início século XVIII, a invenção do motor a vapor deu início às primeiras indústrias, a partir da
substituição do trabalho humano pelas máquinas a vapor, com mais velocidade e melhor
desempenho; 2) na metade do século XIX, a eletricidade facilitou a criação de meios de
comunicação à distância e afetou os meios de produção; e 3) a sociedade da informação se
desenvolveu a partir da sua dependência tecnológica e científica.
Para Werthein (2000), essa nova sociedade apresenta novos paradigmas: a) a
informação é a matéria-prima, já que o homem atua diretamente sobre ela para gerar resultados;
b) todas as atividades humanas são afetadas pelas novas tecnologias, pois sua base é a
informação; c) há uma relação em rede; d) os processos são reversíveis devido a sua
flexibilidade e; e) há uma crescente convergência tecnológica de várias áreas do conhecimento
humano.
Enquanto que no mundo, a questão da sociedade de informação vem sendo debatida e
implementada desde a segunda metade da década de 1960, no Brasil a questão foi tratada de
maneira institucional apenas no ano 2000, dentro do Programa Sociedade da Informação no
Brasil - Livro Verde, durante o governo do presidente Fernando Henrique Cardoso. O programa
abordava questões relativas ao acesso à informação, visando à implantação do Governo
Eletrônico (e-GOV) e a democratização do acesso à informação. Hoje, revertido no Programa
Governo Eletrônico tem como objetivo ampliar o debate e a participação popular na construção
das políticas públicas, como também no aprimoramento da qualidade dos serviços e
informações públicas (BRASIL, 2015). Porém, na sua concepção inicial, estava mais
relacionado à conexão com a internet, com a inserção do cidadão no mundo digital (inclusão
digital) de maneira a evitar sua alienação (exclusão digital), integrando a pessoa na sociedade
da informação, preparando-a para consumir e gerar informação de maneira consciente
(SANTOS; CARVALHO, 2009).
Os sistemas de informação devem atender às demandas da sociedade, prestando serviços
que gerem resultados efetivos para o cidadão. Só estaremos efetivamente incluídos digitalmente
TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO
6
e, por consequência, inseridos numa verdadeira sociedade da informação, quando as
instituições públicas forem capazes de prover para sociedade as informações e serviços por ela
demandados. Conforme o Livro Verde:
O advento da Sociedade da Informação é o fundamento de novas formas de
organização e de produção em escala mundial, redefinindo a inserção dos países na
sociedade internacional e no sistema econômico mundial. Tem também, como
consequência, o surgimento de novas demandas dirigidas ao Poder Público no que
respeita seu próprio funcionamento (TAKASHI, 2000, p.195).
2.3 – Segurança da Informação
Em tempos de globalização a informação tornou-se um dos bens mais valiosos para a
sociedade, conforme afirmação dos autores referenciados neste artigo. Seguindo a evolução da
sociedade da informação, os governos procuram estender sua governança de modo a buscar
ativamente as demandas e necessidades da população. No Portal SISP (2016), está disposto
que: “Nas instituições governamentais, a segurança está relacionada a proteger tudo aquilo que
possui valor para o órgão ou entidade da Administração Pública Federal, ou seja, os ativos de
informação, as pessoas e a sua imagem” (BRASIL, 2016).
Porém toda a informação necessita de tratamento e análise, de forma que chegue ao
destino correto, no momento desejado e de maneira confiável. Neste sentido torna-se necessário
proteger o ambiente computacional de ameaças deliberadas ou acidentais, evitando com isso as
vulnerabilidades do sistema.
Nesse sentido, a segurança da informação é tratada no Decreto nº. 7579, de 11 de
outubro de 2011 (BRASIL, 2011), artigo 2º, inciso 2º, destacando que no âmbito da APF é
objeto do Decreto nº. 3505, de 13 de junho de 2000 (BRASIL, 2000), que institui a Política de
Segurança da Informação nos órgãos e entidades da APF. Onde, em seu artigo 2º, parágrafo II,
consta a seguinte definição:
Segurança da Informação: proteção dos sistemas de informação contra a negação de
serviço a usuários autorizados, assim como contra a intrusão, e a modificação
desautorizada de dados ou informações, armazenados, em processamento ou em
trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação
e do material, das áreas e instalações das comunicações e computacional, assim como
as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu
desenvolvimento (BRASIL, 2000).
O Decreto citado determina em seu artigo 4º, que a Secretaria-Executiva do Conselho
de Defesa Nacional, assessorada pelo Comitê Gestor de Segurança da Informação adote
algumas diretrizes, dentre elas: “realizar auditoria nos órgãos e nas entidades da Administração
Pública Federal, envolvidas com a política de segurança da informação, no intuito de aferir o
nível de segurança dos respectivos sistemas de informação” (BRASIL, 2000).
2.3.1 – Conceito e uso da segurança da informação
TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO
7
De acordo com a NBR ISSO/IEC 17799 (ABNT, 2005), a abrangência da segurança da
informação não se restringe apenas ao ambiente computacional, mas a todo meio envolvido na
disseminação da informação.
A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em
papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos,
apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou
o meio através do qual a informação é compartilhada ou armazenada, é recomendado
que ela seja sempre protegida adequadamente. Segurança da informação é a proteção
da informação de vários tipos de ameaças para garantir a continuidade do negócio,
minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as
oportunidades de negócio (ABNT, 2005).
Na visão de Moreira (2001), a segurança visa também aumentar a produtividade dos
usuários através de um ambiente mais organizado, proporcionando maior controle de recursos.
Em tempos de busca pela eficiência a custos cada vez menores, uma PSI bem elaborada deve
servir como referencial a ser seguido na conquista da eficácia dos serviços públicos.
2.3.2 - O fator humano na segurança da informação
A segurança da informação também atinge aspectos humanos, onde sua abordagem deve
levar em conta aspectos culturais, educacionais e principalmente a conscientização da forma
correta e segura do uso da TI pelos seus usuários por meio da PSI. Moreira (2001) aponta a
vulnerabilidade como sendo o ponto onde qualquer sistema é suscetível a um ataque, condição
causada muitas vezes pela ausência ou ineficiência das medidas de proteção. Adachi (2004)
relaciona os aspectos envolvidos na segurança da informação em três camadas: física, lógica e
humana. Na camada física encontram-se todos os ativos de TI, tais como computadores,
servidores, modems, etc. Na camada lógica encontram-se os softwares, ou programas e
instruções, tais como sistemas operacionais, firewall, antivírus, etc. Todos os usuários fazem
parte do fator humano, principalmente os que têm acesso direto aos recursos de TI tornando-se
o fator mais difícil de gerenciar e avaliar riscos.
Mitnick (1963, p.23) afirma que “a segurança não é um problema para a tecnologia —
ela é um problema para as pessoas e a direção”. Podemos perceber a constante evolução
tecnológica vem tornando mais difícil a exploração de falhas pelos atacantes, que acabam se
voltando para o fator humano. Explorar o elemento humano é mais fácil, não necessita de
nenhum investimento e envolve um risco mínimo. Por ser um dos pilares na segurança da
informação, o fator humano carece de PSI específicas conforme o ambiente organizacional, um
controle efetivo, a conscientização de todos os envolvidos e o constante treinamento e
capacitação dos usuários dos sistemas informatizados visando atingir a excelência nos serviços
públicos oferecidos pelo Estado.
3 – Metodologia
A metodologia utilizada para o desenvolvimento deste estudo foi a pesquisa
documental, que segundo Gil (2008, p.50), é parecida com a pesquisa bibliográfica, ou seja,
“desenvolvida a partir de material já elaborado, construído principalmente de livros e artigos
TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO
8
científicos”. A diferença é que na pesquisa documental a análise é realizada em materiais ainda
não tratados, e no caso em questão serão utilizados, no conceito do mesmo autor, documentos
de segunda mão, sendo esses os Levantamentos do TCU dos anos de 2007, 2010, 2012 e 2014,
que avaliam todo o processo de governança de TI na APF.
Os Levantamentos são realizados por meio de questionário disponibilizado para
organizações públicas federais, escolhidas a partir do critério principal de sua
representatividade no orçamento da União e de sua autonomia da governança de TI. Após o
Acórdão nº. 2.308/2010-TCU-Plenário, o TCU determinou que:
O levantamento de governança de TI fosse convertido em processo de trabalho com
o objetivo de avaliar a situação de governança de TI na APF e induzir sua melhoria.
Nesse sentido, a SeFTI criou o Processo de Avaliação de Governança de TI, com ciclo
de vida de dois anos, em seu nível mais alto, das seguintes etapas: Monitoração,
Preparação, Avaliação e Revisão (TCU, 2014).
A análise foi qualitativa, com a utilização das três etapas apresentadas por Miles e
Hubberman (1994) para análise de dados, sendo: redução, apresentação e
conclusão/verificação.
Inicialmente fizemos a redução, selecionando dentro dos Levantamentos do TCU os
dados que interessavam ao tema, sendo estes os relacionados à segurança da informação, com
foco na PSI, com um olhar também sobre a gestão de risco. Objetivando obter um diagnóstico
de quais medidas a APF está adotando em seu âmbito para manter o sigilo e a confiabilidade
das informações das quais é detentora. Assim, os dados originais foram simplificados para
facilitar a análise.
Após, passamos para a etapa da apresentação, que segundo os autores Miles e
Hubberman (1994) “consiste na organização dos dados selecionados de forma a possibilitar a
análise sistemática das semelhanças e diferenças e seu inter-relacionamento”. Seguindo o
modelo fizemos o cruzamento dos dados de Levantamentos de anos anteriores 2007, 2010 e
2012 com posteriores, 2010, 2012 e 2014 para organização e análise das informações.
Por fim, realizamos a conclusão de acordo com a regularidade e explanações constantes
nos Levantamentos que possuem um padrão de análise e índices que facilitaram a observação
da evolução dos itens selecionados, como também, a verificação, sendo esta a etapa onde foi
feita a revisão dos dados dos Levantamentos para dar consistência à conclusão.
Para chegarmos ao resultado da pesquisa documental, qual seja verificar em que patamar
se encontra a governança de TI na APF e quais as medidas estão sendo adotadas pelas
instituições públicas para proteger dados e informações estratégicas para o Estado e para os
cidadãos, analisamos os dados relativos à segurança da informação nos Levantamentos de
Governança de TI do TCU.
Na primeira etapa da pesquisa selecionamos quatro Levantamentos do TCU, dos anos
de 2007, 2010, 2012 e 2014 e focamos nas questões relativas ao objeto da nossa pesquisa que
é a segurança da informação e risco aplicado ao comportamento humano.
4 – Resultados e discussões
TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO
9
O Levantamento acerca da Governança de Tecnologia da Informação na Administração
Pública Federal, Acórdão nº. 1603/2008-TCU-Plenário, foi o primeiro a ser realizado pela
SeFTI no ano de 2007, auditando 255 órgãos/entidades representativas da APF. Seu maior
objetivo foi elaborar um mapa situacional para a identificação da situação de governança de TI
na APF. O questionário aplicado foi composto de 39 perguntas baseadas nas normas técnicas
brasileiras ISO/IEC 17799 (ABNT, 2005), ISO/IEC 15999-1 (ABNT, 2007) e no Control
Objectives for Information and Related Technology 4.1 (COBIT 4.1). Os principais problemas
de governança de TI foram identificados por área: planejamento estratégico institucional e de
TI; estrutura de pessoal de TI; segurança da informação; desenvolvimento de sistemas de
informação; gestão de acordos de níveis de serviço; processos de contratação de bens e serviços
de TI; processos de gestão de contratos de TI; processo orçamentário de TI; e auditoria de TI.
Encontramos esse formato nos demais Levantamentos analisados.
Os dados verificados no Levantamento de 2007, quanto à segurança da informação,
limitaram-se as informações das instituições auditadas relativas aos documentos sobre a Política
de Segurança da Informação, o Plano de Continuidade de Negócios, normas/procedimentos
relacionados à classificação de informações e ao controle de acesso, que devem orientar o
tratamento da segurança das informações (TCU, 2008). As respostas dadas aos
questionamentos sobre segurança da informação foram insatisfatórias, visto que, das nove
questões feitas, só uma atingiu patamar positivo acima de 50%. No que
cabe a PSI, 64% das organizações declararam não ter essa política, portanto, não adotavam
sequer os princípios de segurança da informação, dado esse confirmado pelo fato de apenas
36% ter declarado existir uma área específica para lidar estrategicamente com segurança da
informação. Por outro lado, 52% das instituições declararam possuir regras de controle de
acesso e direitos de cada usuário ou grupo de usuários. Com base nesses dados, fica clara a
ausência de proteção à informação, bem como da disseminação de uma política que subsidiasse
o usuário do sistema da importância dessa proteção, bem como, de um setor que fizesse a gestão
da PSI dentre das organizações participantes desse Levantamento. Tal fato se deve a insipiência
da segurança da informação na APF, bem como pela ausência de políticas públicas efetivas
relacionadas à questão.
O Levantamento de Governança de TI de 2010, Acórdão 2.308/2010-TCU-Plenário,
contou com a participação de 349 instituições da APF que responderam um questionário com
trinta perguntas, baseadas nas normas técnicas brasileiras de segurança da informação e
governança de TI, no COBIT 4.1 e no Programa Nacional de Gestão Pública e
Desburocratização (GesPública), Decreto nº. 5.378/2005 (BRASIL, 2005), englobando sete das
oito dimensões estabelecidas no programa: liderança, estratégias e planos; cidadãos; sociedade;
informações e conhecimento pessoas e processos. Nesse Levantamento foi criado o índice de
governança de TI (iGovTI). A avaliação da SeFTI, aos questionários analisados em 2010, foi
de que a governança de TI na APF estava em estado embrionário e que os processos de gestão
de segurança da informação se mantinham sem implementação.
No ano de 2012, o Levantamento de Governança de TI, Acórdão 2.585/2012-TCU-
Plenário, auditou 309 instituições da APF, seguiu o modelo COBIT 5, distinguindo governança
de TI de gestão de TI. A análise de dados para esse trabalho focou apenas na governança de TI
e foi feita em três seções. A primeira denominada Atualização do Perfil de Governança de TI,
compara os cenários de 2010 e 2012; a segunda, A Governança e os Resultados Institucionais,
TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO
10
analisam os resultados por questão e dimensão do questionário, com foco na governança e nos
resultados; e a terceira, apresenta o índice de governança de TI (iGovTI2012).
Gráfico 1 – Comparação do cenário de segurança da informação na APF entre os anos de 2010
e 2012.
Fonte: Levantamento de Governança de TI de 2012 (Acórdão nº. 2585/2012-TCU-Plenário).
O comparativo da dimensão da segurança da informação, dos anos de 2010 e 2012,
apresentados no gráfico acima, revela uma melhoria nos índices de PSI e gerenciamento de
segurança da informação. No entanto, a análise geral é de que a segurança da informação não
possui grau de relevância nas instituições auditadas, considerando que em sua maioria os
percentuais encontram-se abaixo de 50%.
O Levantamento 2012 se baseou em declarações espontâneas dos dirigentes, ou seja,
sem apresentação de evidência. Assim, a SeFTI realizou auditorias específicas no ano de 2013
em uma amostra de 20 organizações para validar a gestão de risco e os resultados apurados no
ano de 2012. As auditorias resultaram nas decisões: Acórdão nº. 755/2014-TCU-Plenário,
Acórdão nº. 1.684/2014-TCU-Plenário e Acórdão nº. 1.015/2014-TCU-Plenário, e
identificaram que a situação encontrada estava aquém daquela informada pelas instituições
públicas no questionário.
A evolução ocorrida entre 2010 e 2012, na área de segurança da informação, se deve
pela observância da APF da informação como valor para as relações internacionais como
estratégia de negócio para o país, agregada a tomada de decisões estratégicas. O Brasil, no ano
de 2010, ocupava situação de destaque na economia, assim, era necessário proteger o
patrimônio nacional que no mercado global do momento é a informação. Outra vertente foi o
avanço do Governo Eletrônico (E- Gov) e consequentemente do acesso à informação pela
sociedade.
O último Levantamento de Governança de TI, com dados compilados é o do ano de
2014, Acórdão nº 3.117/2014-TCU-Plenário, onde foram selecionadas 373 organizações
TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO
11
públicas, mantidas as do levantamento anterior, com o objetivo de atualizar o cenário de 2012.
A metodologia utilizada para aplicação do questionário em 2014 deixou de ser binária (sim ou
não) e adotou a forma de categorias de repostas relativas ao nível de adoção da prática de
governança, sendo: não se aplica, não adota, iniciou o plano para adotar, adota parcialmente e
dota integralmente.
Sendo analisado pela primeira vez em 2014, o tema “Gestão de Risco de TI”. A Gestão
de Risco de TI é normatizada pela NBR ISO/IEC 38500 (ABNT, 2009), que apresenta
princípios básicos que direcionam as organizações para a implementação e manutenção de uma
governança de TI eficaz. Onde cabe observar o sexto princípio, o Comportamento Humano,
que deve ser norteado por políticas, práticas e inclusão nos processos de governança de TI. Sua
ineficiência, no âmbito das instituições públicas, apresenta grave falha e grande risco para o
cidadão.
No que cabe a análise das políticas e responsabilidades de segurança da informação o
gráfico abaixo, extraído do Levantamento de 2014, aponta evoluções:
Gráfico 2 – Evolução da segurança da informação na APF entre os anos de 2012 e 2014.
Fonte: Levantamento de Governança de TI de 2014 (Acórdão nº. 3117/2014-TCU-Plenário).
Quanto a PSI, comparativo entre 2012 e 2014 apresenta uma evolução de 24%,
considerando que 68% declararam adotar a PSI em 2014 e apenas 44% em 2012. Os comitês
de segurança da informação tiveram um incremento de 16% no ano de 2014, saindo de um
percentual de 46% em 2012 para 62% das instituições públicas em 2014, onde 13% adotam a
prática parcialmente e 49% adotam integralmente. Na política de controle de acesso, que
estabelece regras de acesso aos sistemas e demais recursos de TI da organização, houve um
salto, de 26% em 2012 para 52% em 2014.
Concluindo a última etapa da metodologia proposta, que é a conclusão/verificação,
observamos que apesar dos índices mais positivos no que cabe à segurança da informação
constantes do Levantamento de 2014, corroboramos com as considerações dos técnicos do TCU
de que a situação está distante do esperado, citando o item 2.5.2, parágrafo 227, do Acórdão nº.
3.117/2014-TCU-Plenário, onde se lê:
TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO
12
O uso cada vez mais crescente da TI na execução dos processos organizacionais, em
especial dos finalísticos, vem acompanhado do aumento do risco de segurança da
informação, requerendo maior atenção da APF no estabelecimento dos processos e
controles voltados à proteção das informações (TCU, 2014).
A APF deve, na figura de seus agentes, zelar pelos dados em sua guarda. Até mesmo
o Código Penal Brasileiro, em seu art. 325, tipifica as condutas criminosas relacionadas ao
vazamento de dados. Porém, excluindo a intenção criminosa, acreditamos que as instituições
públicas precisam de uma atuação mais dinâmica na governança de TI, principalmente no que
cabe a área de segurança da informação. A adoção de uma PSI e a criação do comitê de
segurança da informação, ainda que em fase intermediária na APF, medidas meramente legais,
não trazem nenhum benefício se não forem adotadas ações de conscientização, política de
treinamento e monitoramento constante do usuário final, a fim de evitar atos de imperícia,
imprudência ou até mesmo negligência por parte dos agentes envolvidos.
Conforme Fernandes e Abreu (2013), nos levantamentos realizados em 2007 e 2010,
o diagnóstico da Gestão de TI na APF foi avaliado como precário, pois não havia boa
governança; os índices em segurança da informação que estavam em não conformidade ainda
eram altos; havia baixo índice de planejamento da contratação e da gestão de contratos; e a
governança de TI não era vista como responsabilidade da alta administração por metade dos
respondentes da pesquisa.
Apesar da evolução dos índices entre 2010 e 2014, verificamos que a governança de TI
e a segurança da informação, apresentam pouca relevância para a APF. Não ficaram claros, na
pesquisa realizada através dos Levantamentos do TCU, quais os fatores que levam às
instituições públicas brasileiras a terem esse comportamento. No entanto, esse desinteresse vai
contra aspectos regulatórios da APF e a abordagem dos autores estudados para a formulação do
presente artigo, que são unânimes em apontar a importância da boa governança de TI para a
estratégia organizacional e o comportamento humano como um dos fatores críticos de sucesso
para segurança da informação, com considerável grau de valor.
Para tanto, faz-se necessária a inserção do usuário como parte integrante da governança
de TI, para que ele se torne motivado a aceitar o treinamento e supervisão necessária, e para
que não se torne um “ponto fraco” que resulte em incidentes de segurança (ALBERTIN;
PINOCHET, 2010).
5 – Conclusão
É inegável o esforço da APF em avançar nos processos de Governança de TI nos
últimos anos, mais especificamente na área de segurança da informação. Desde 2000, ano da
publicação do Decreto nº. 3505/2000 (BRASIL, 2000) que institui a Política de Segurança da
Informação na APF até o Levantamento de 2014 do TCU, o panorama é favorável. No entanto
caminhamos a passos lentos, vide a distância existente entre as teorias propagadas nas
bibliografias apresentadas neste artigo, relativas à importância de uma boa governança de TI
TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO
13
como aspecto estratégico e de diferencial competitivo para as organizações, e as medidas
efetivamente adotas pelas instituições da APF.
No que tange a segurança da informação o distanciamento é ainda maior, pois a
informação como ativo de grande valia é relegada a segundo plano, pois as ações por parte da
APF são meramente normativas.
Ao final deste estudo, concluímos que para uma visão mais ampla do processo de
governança de TI na APF, o TCU por meio da SeFTI deve inserir nas próximas versões do seu
Levantamento, o princípio “comportamento humano”, no tema “Gestão de Risco de TI”. Com
inclusão de questões mais abrangentes relativas ao processo de implementação da PSI e atuação
dos comitês de segurança da informação, a exemplo de perguntas sobre a realização de ações
de conscientização e treinamento de todos os envolvidos no uso da informação, envolvendo
desde a alta administração até o pessoal de nível operacional.
É preciso avançar nas propostas para tornar a governança de TI na APF mais efetiva.
Isso só será alcançado, por meio do engajamento das pessoas e no caso específico estudado no
presente artigo, com ações pró-ativas na área de segurança da informação. Por meio do controle
na gestão de risco, considerando os aspectos técnicos, legais e éticos que envolvem todos os
usuários da informação, para além da PSI e dos comitês de segurança da informação.
Acreditamos que desta forma, a APF alcançará o nível de excelência desejado e necessário,
beneficiando a razão da sua existência, o cidadão.
6 – Referências
ABREU, V. F.; FERNANDES, A. A. Implantando a governança de TI: da estratégia à gestão
dos processos e serviços. 4. ed. Rio de Janeiro: Brasport, 2013.
ADACHI, T. Gestão de Segurança em Internet Banking: estudos de casos brasileiros. 2004.
121f. Dissertação (Mestrado em Administração de Empresas) – Fundação Getúlio Vargas, São
Paulo. Disponível em: <http://bibliotecadigital.fgv.br/dspace/handle/10438/2339>. Acesso em
14 abr. 2017.
ALBERTIN, A. L.; PINOCHET, L. H. C. Política de segurança de informações: Uma visão
organizacional para a sua formulação. São Paulo: Elsevier, 2010.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR 6023: informação e
documentação: referências - elaboração. Rio de Janeiro, 2002a.
______. NBR 17799: Tecnologia da informação - Técnicas de segurança - Código de prática
para a gestão da segurança da informação. Rio de Janeiro, 2005.
______. NBR 38500: Fornece uma estrutura de princípios para os dirigentes usarem na
avaliação, gerenciamento e monitoramento do uso da T.I. Rio de Janeiro, 2009.
BEAL. A. Segurança da Informação: princípios e melhores práticas para a proteção dos ativos
de informação nas organizações. São Paulo: Atlas, 2005.
TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO
14
BRASIL. Código Penal. Decreto-Lei nº 2.848, 07 de dezembro de 1940. Disponível em:
<http://www.planalto.gov.br/ccivil_03/decreto-lei/Del2848.htm>. Acesso em 11 mar. 2017.
______. Decreto nº. 7579, de 11 de outubro de 2011. Dispõe sobre o Sistema de Administração
dos Recursos de Tecnologia da Informação - SISP, do Poder Executivo federal. Diário Oficial
da república Federativa do Brasil. Brasília, DF, 13 out. 2011. Disponível em:
<http://www.in.gov.br >. Acesso em: 19 ago. 2016.
______. Decreto nº. 3505, de 13 de junho de 2000. Dispõe sobre a Política de Segurança da
Informação nos órgãos e entidades da Administração Pública Federal. Diário Oficial da
república Federativa do Brasil. Brasília, DF, 14 jun. 2000. Disponível em:
<http://www.in.gov.br >. Acesso em: 19 ago. 2016.
______. Programa Governo Eletrônico. Histórico. Brasília, 2015. Disponível em:
<https://www.governoeletronico.gov.br/sobre-o-programa/historico>. Acesso em: 04 mar.
2016.
______. Ministério do Planejamento, Orçamento e Gestão. Guia de Governança de TIC do
SISP. Brasília, 2015. Disponível em: <http://sisp.gov.br/govtic/wiki>. Acesso em 04 mar. 2016.
______. Ministério do Planejamento, Desenvolvimento e Gestão. Portal SISP. Brasília, 2015.
Disponível em: <http://sisp.gov.br/gov>. Acesso em 04 mar. 2016.
______. Tribunal de Contas da União. Acórdão 1603/2008-Plenário. Levantamento acerca da
Governança de Tecnologia da Informação na Administração Pública Federal. Sumários
Executivos. Brasília, 2008. Disponível em:<http://portal.tcu.gov.br/comunidades/fiscalizacao-
de-tecnologia-da-informacao/atuacao/perfil-de-governanca-de-ti/>. Acesso em: 12 mar.2017.
______. Tribunal de Contas da União. Acórdão 2380/2010-Plenário. Levantamento do Perfil da
Governança de TI na Administração Pública Federal. Brasília, 2010. Disponível em:
<http://portal.tcu.gov.br/comunidades/fiscalizacao-de-tecnologia-dainformacao/atuacao/perfil-
de-governanca-de-ti/>. Acesso em: 12 mar. 2017
______. Tribunal de Contas da União. Acórdão nº. 2585/2012-Plenário. Levantamento de
Governança de TI 2012. Sumários Executivos. Brasília, 2013. Disponível
em:<http://portal.tcu.gov.br/comunidades/fiscalizacao-de-tecnologia-da
informação/atuacao/perfil-de-governanca-de-ti/>. Acesso em: 12 mar. 2017
______. Tribunal de Contas da União. Acórdão nº. 3117/2014-Plenário. Levantamento de
Governança de TI 2014. Sumário Executivo Tecnologia da Informação. Brasília, 2015.
Disponívelem:<http://portal.tcu.gov.br/comunidades/fiscalizacao-de-tecnologia-da-
informacao/atuacao/perfil-de-governanca-de-ti/>. Acesso em: 12 mar. 2017
CEPIK, M.; CANABARRO, D. R. Governança de TI: transformando a administração pública
no Brasil. Porto Alegre: UFRGS, 2014.
TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO
15
GIL, A.C. Como Elaborar Projetos de Pesquisa. São Paulo: Atlas, 2008.
MITNICK, K. D.; WILLIAM, W. L. A. A arte de enganar: Controlando o Fator Humano na
Segurança da Informação. Tradução de Kátia Aparecida Roque. São Paulo: Pearson Education,
2003. Título original: The art of deception: controlling the human element of security (1963).
MILES, M. B.; HUBERMAN, A. M. Qualitative Data Analysis (2nd edition). Thousand Oaks,
CA: Sage Publications, 1994.
MOREIRA, N. S. Segurança Mínima. Rio de Janeiro: Axcel Books, 2001
SANTOS, P. L. V. A; C. CARVALHO, A. M. G. Sociedade da informação: avanços e
retrocessos no acesso e no uso da informação. Inf. & Soc. Est., João Pessoa, v.19, n.1, p. 45-
55, 2009. Disponível em: <http://www.ies.ufpb.br/ojs/index.php/ies/article/view/1782>.
Acesso em 01 ago. 2016.
TAKAHASHI, T. Livro Verde: Sociedade da informação no Brasil. Ministério da Ciência e
Tecnologia. Brasília, 2000. Disponível em:
<https://www.governoeletronico.gov.br/documentos-e-arquivos/livroverde.pdf>. Acesso em
01 agosto 2016.
WERTHEIN, J. A sociedade da informação e seus desafios. Ci. Inf. Brasília, v. 29, n. 2, p. 71-
77, maio/ago. 2000. Disponível em: <http://www.scielo.br/pdf/ci/v29n2/a09v29n2.pdf>.
Acesso em 01 ago. 2016.