vis o estrat gica da gest o da seguran a da...
TRANSCRIPT
1
Texto apresentado na Pós-Graduação em Segurança da Informação da FacSENAC/DF - Abril/2011
VISÃO ESTRATÉGICA DA GESTÃO DA SEGURANÇA DA INFORMA ÇÃO: UMA ANÁLISE AMBIENTAL DO ENVOLVIMENTO DA ALTA-DIREÇ ÃO NA
FORMULAÇÃO DE UM PLANO DE CONTINUIDADE DE NEGÓCIOS EFETIVO.
Gleyce Kelly Magalhães de Oliveira1, Domingos Savio Evandro da Silva 1 e Edilberto Silva1
1 Pós-Graduação em Segurança da Informação, FACSENAC-DF, Brasília-DF
[email protected]; [email protected]; [email protected]
Resumo . Hoje muitas empresas estão investindo em Segurança da Informação, treinando os seus funcionários para usarem os recursos tecnológicos em seus ambientes de trabalho de maneira eficiente e segura. Desta forma, este artigo busca apresentar algumas práticas e princípios geralmente aceitos e a necessidade de normativos que façam com que os usuários sejam dissuadidos de usar os recursos de processamento da informação para propósitos não autorizados. Além disso, na formulação de um Sistema de Gestão da Segurança da Informação faz-se necessário que todos os níveis da empresa, a começar pela cúpula dos dirigentes, sejam envolvidos para que os resultados sejam satisfatórios. Abstract: Today many companies are investing in information security, training staff to use technology resources in their work environments to efficiently and securely. Thus, this paper aims to outline some principles and practices generally accepted and the need for rules that make it possible for users are furtive from using the processing resources of information for unauthorized purposes. Moreover, the formulation of a Management System of Information Security it is necessary that all levels of the company, starting with the leaders summit, to be involved so that the results are satisfactory. Palavras-chave: Segurança da Informação. Leis. Gestão. Liderança.
2
Texto apresentado na Pós-Graduação em Segurança da Informação da FacSENAC/DF - Abril/2011
1. INTRODUÇÃO
Cada vez mais a segurança da informação exige que todos os agentes envolvidos
nas atividades e negócios das Entidades tenham um maior preparo a fim de evitar
riscos de perdas de informações com prejuízos por vezes imensuráveis.
Geralmente a falta de orientação leva o funcionário a agir de forma inadequada.
Se houver uma orientação adequada ao funcionário em conjunto com as normas
existentes sobre o assunto, os incidentes, como perda da informação, roubo de
dados sigilosos, e a má utilização da tecnologia da informação, poderão ser
evitados.
Tem havido uma crescente preocupação da área governamental, tais como
Presidência da República - Gabinete de Segurança Institucional - GSI/PR, Tribunal
de Contas da União - TCU e Ministérios, com a segurança da informação fazendo
com que sejam publicadas Instruções Normativas, Acórdãos e outras divulgações
com o intuito de contribuir para o aperfeiçoamento de sua gestão.
Assim o uso indevido da informação pode ser dissuadido por meio de normativos
como o publicado pelo Gabinete de Segurança Institucional da Presidência da
República - GSI/PR: “Art 5º, II - aplicar as ações corretivas e disciplinares cabíveis
nos casos de quebra de segurança.” (IN/GSI/PR 01/2008).
Este artigo se propõe a apresentar algumas das abordagens práticas a respeito
da necessidade de formulação de políticas de seguranças e sua aderência com as
Normas existentes, bem como verificar o nível de conscientização das Entidades
quanto à necessidade de participação dos dirigentes no processo de Gestão da
Segurança da Informação.
Para isso, serão estudados os planos de segurança e as principais normas sobre
Segurança da Informação, analisando, por meio de observação, o nível de
conscientização dos dirigentes de um determinado Órgão Público quanto à
importância de se manter a segurança da informação nos processos. Outrossim,
será observada a existência de Plano de Continuidade de Negócio ou a indicação do
uso de algum Sistema de Gestão da Segurança da Informação, bem como se há
evidências de aderência com as normas referentes à Segurança da Informação.
Desta forma pretende-se contribuir, por meio dos resultados das observações,
para o aperfeiçoamento do nível de conscientização das Entidades quanto à
3
Texto apresentado na Pós-Graduação em Segurança da Informação da FacSENAC/DF - Abril/2011
necessidade de participação dos dirigentes no processo de Gestão da Segurança da
Informação.
2. FATORES RELACIONADOS À SEGURANÇA DA INFORMAÇÃO
Atualmente os sistemas e serviços de Segurança da Informação são
considerados pelas organizações como importantes instrumentos para
gerenciamento da informação. “São as práticas, os procedimentos e os mecanismos
usados para a proteção da informação e seus ativos, que podem impedir que
ameaças explorem vulnerabilidades...” (SÊMOLA, 2003 apud SILVA, G.F;
OCULATO, T.R.C.S. 2007).
Segundo a abordagem de Boas Práticas adotada pelo Tribunal de Contas da
União (TCU, 2007): "A maioria dos sistemas operacionais possui mecanismos de
controle de acesso que definem as permissões e os privilégios de acesso para cada
recurso ou arquivo no sistema. Quando um usuário tenta acessar um recurso, o
sistema operacional verifica se as definições de acesso desse usuário e do recurso
desejado conferem. O usuário só conseguirá o acesso se essa verificação for
positiva."
Entende-se que esses mecanismos de segurança só terão sua eficiência
assegurada se houver um efetivo comprometimento de cada indivíduo da
organização, sendo necessário que haja um processo continuo de educação e
treinamento.
No entanto, tais treinamentos só trarão resultados efetivos em termos de
Segurança da Informação se houver normativos que assegurem a obrigatoriedade
para todos os níveis da organização, determinando punições em caso de
descumprimento.
Com relação a isso, observamos que o Setor Público Federal vem adotando
medidas para garantir que o processo de Gestão da Segurança da Informação atinja
os resultados esperados. A IN/GSI/PR 01/2008 determina em seu artigo 5º que aos
órgãos e entidades da Administração Pública Federal, direta e indireta, em seu
âmbito de atuação, competem coordenar as ações de segurança da informação e
comunicações, além de aplicar as ações corretivas e disciplinares cabíveis nos
casos de quebra de segurança.
4
Texto apresentado na Pós-Graduação em Segurança da Informação da FacSENAC/DF - Abril/2011
Sendo assim, faz-se necessário adotar outros instrumentos que possuam um
caráter normativo ou uma relação de boas práticas, com princípios geralmente
aceitos pela comunidade internacional, tais como o ISO 27001:2006 e 27002:2005
da Associação Brasileira de Normas Técnicas - ABNT e os Objetivos de Controle da
Associação Internacional de Auditoria de Sistema de Informação - COBIT/ISACA,
além dos normativos da Biblioteca de Infraestrutura de Tecnologia da Informação do
Escritório de Comércio de Governo da Inglaterra - ITIL.
2.1 Classificação da Informação
A informação pode ser classificada em quatro tipos principais, isto é, as públicas
que são distribuídas sem restrições, voltadas ao público; as internas que são de
interesse específico interno de uma empresa; particular é aquela que se por ventura
cair em mãos erradas prejudicará não somente a empresa, e sim principalmente o
próprio funcionário e confidencial aquelas que são operacionais da empresa, que
possuem segredos comerciais da empresa. (SILVA, G.F; OCULATO, T.R.C.S. 2007)
Este tipo de classificação também está regulamentado para o Setor Público pelo
Decreto 3.505/2000 - Política de Segurança da Informação e Decreto 4.553/2002 -
Salvaguarda de dados sigilosos, ambos da Casa Civil da Presidência da República.
2.2 Normas ISO relacionadas
ISO/IEC 27001:2006 - Esta Norma foi preparada para prover um modelo para
estabelecer, implementar, operar, monitorar, analisar criticamente, manter e
melhorar um Sistema de Gestão de Segurança da Informação (SGSI).
ISO/IEC 27002:2005 - Estabelece diretrizes e princípios gerais para iniciar,
implementar, manter e melhorar a gestão de segurança da informação em uma
organização.
ISO/IEC 27005:2008 - Fornece diretrizes para a segurança da informação da
gestão de riscos, tendo como objetivo fornecer um guia para a implementação de
gerenciamento de riscos orientado ao processo e para auxiliar no cumprimento
satisfatório da implementação da gestão de riscos da informação, baseado nos
requisitos da norma ISO/IEC 27001.
2.3 Planos e Políticas
5
Texto apresentado na Pós-Graduação em Segurança da Informação da FacSENAC/DF - Abril/2011
Plano de Continuidade de Negócio – Garantir a continuidade de processos e
informações vitais à sobrevivência da empresa, no menor espaço de tempo possível,
com o objetivo de minimizar os impactos do desastre. (SILVA, E.M. 2011).
Sua composição segue a seguinte equação:
Sendo:
AIN - Análise de Impacto de Negócio - Ajuda as organizações a identificarem as
suas atividades e os recursos críticos e permite mensurar o impacto da falha de
recursos críticos na organização.
PAC - Plano de Administração de Crises - Define passo-a-passo o
funcionamento das equipes antes, durante e depois da ocorrência do incidente. Tem
como objetivo definir os procedimentos a serem executados até o retorno normal
das atividades.
PCO - Plano de Continuidade Operacional - Define os procedimentos para
contingenciamento dos ativos. Tem como objetivo reduzir o tempo de
indisponibilidade e os impactos potenciais ao negócio.
PRD - Plano de recuperação de Desastres - Abrange a recuperação e
restauração das funcionalidades dos ativos humanos, operacionais, tecnológicos
que suportam o negócio. Tem como objetivo restabelecer o ambiente às condições
originais de operação.
3 VALOR DA INFORMAÇÃO
Baseado no conceito de valor mensurável da Informação torna-se possível
proceder ao inventário dos Ativos de Informação (tangíveis e intangíveis tais como
infraestrutura física e lógica, equipamentos, aplicativos, licenças, etc) para que seja
feita a identificação, análise e gerenciamento do risco (ABNT NBR ISO/IEC
27001:2006).
De acordo com o COBIT (ITGI, 2007) as organizações não podem atingir seus
requisitos de negócios e governança sem adotar e implementar um modelo para
6
Texto apresentado na Pós-Graduação em Segurança da Informação da FacSENAC/DF - Abril/2011
governança e controle de TI e que este modelo define as razões pelas quais a
governança de TI é necessária, quais são as partes interessadas e o que esse
modelo precisa atingir.
Figura 1: Boas práticas para controles de TI em tod a a empresa
Desta forma o COBIT (ITGI, 2007) estabelece definições e ações que auxiliam na
proposição de valores para os processos de TI:
PO1 - Definir um Plano Estratégico de TI - O planejamento estratégico de TI é
necessário para gerenciar todos os recursos de TI em alinhamento com as
prioridades e estratégias de negócio. A função de TI e as partes interessadas pelo
negócio são responsáveis por garantir a otimização do valor a ser obtido do portfólio
de projetos e serviços. [...] PO1.4 Plano Estratégico de TI - Criar um plano
estratégico que defina, em cooperação com as partes interessadas relevantes, como
a TI contribuirá com os objetivos estratégicos da organização (metas) e quais os
custos e riscos relacionados...
A informação não se limita ao que é produzida na empresa. Matsuda (2007 apud
Costa 2007) esclarece que a informação deve ser analisada por diversos ângulos,
como informação para o trabalho e relacionais; informação interna e externa;
informação qualitativa e quantitativa; informação formal e informal e informação
altamente especializada. Informação certa e disponível no tempo correto é
determinante para que os administradores tomem decisões mais acertadas.
7
Texto apresentado na Pós-Graduação em Segurança da Informação da FacSENAC/DF - Abril/2011
4 IMPORTÂNCIA DA ALTA DIREÇÃO NO PLANEJAMENTO ESTR ATÉGICO E
NA GOVERNANÇA DE TI
Na literatura existe um consenso de que o processo de mudanças referente à
implementação de uma estrutura de melhoria, sempre se inicia após uma tomada de
decisão pelos principais gestores (NEVES, 2000, p.32 apud CARDOSO 2001).
Pode-se citar o que ocorreu no TCU, envolveu a alta direção para que a criação
da Secretaria de Fiscalização de Tecnologia da Informação - SEFTI estivesse
amplamente respaldada.
Com o apoio da alta administração do TCU começamos a
identificar quais seriam as informações essenciais a serem
levantadas previamente à formulação do referencial estratégico
da Sefti. (TCU - Revista do Tribunal de Contas da União.
Número 117, 2010 ).
Existem diversas condições que devem ser atendidas, tais como um
conhecimento sobre todo o desenrolar do processo de mudanças, para que seja
possível manter os esforços e o interesse de todos (KELADA, 1996, p. 9-10 apud
CARDOSO, 2001).
É fundamental alinhar os processos com os objetivos organizacionais. É
necessário, então, definir claramente esses processos para que a organização
canalize os recursos para que sejam alcançados os objetivos.
Aparentemente, ainda é uma novidade o conceito de que governar a TI, por se
tratar de uma área crítica para o alcance dos objetivos da instituição, é
responsabilidade da alta administração. Essa lacuna demanda ação específica do
TCU, pois a análise dos dados sugere que há correlação entre a liderança da alta
administração na governança de TI em relação às outras dimensões, especialmente
com relação à dimensão “processos de TI”. Assim, como preconizado pelo objetivo
de controle ME1 do Cobit, a melhor forma para alcançar boa governança de TI seria
atuar fortemente sobre o comportamento da alta administração. (TCU, 2010).
O TCU observa que os modelos de “boas práticas” e as normas técnicas atribuem
à alta administração a responsabilidade de governar a TI. No entanto, há alguns
8
Texto apresentado na Pós-Graduação em Segurança da Informação da FacSENAC/DF - Abril/2011
elementos importantes que devem ser implantados para que esse governo seja
efetivo, entre os quais se destaca a dimensão Liderança.
Neste sentido, o Tribunal expediu por meio do Acórdão 1.603/2008, ratificado pelo
Acórdão nº. 2.308/2010-TCU Plenário, recomendação para que os órgãos
governantes superiores da Administração Pública Federal orientassem e
normatizassem a obrigatoriedade da alta administração de cada instituição sob sua
jurisdição de estabelecerem formalmente: objetivos institucionais de TI alinhados às
estratégias de negócio, indicadores para cada objetivo definido, preferencialmente
em termos de benefícios para o negócio da instituição, metas para cada indicador
definido e mecanismos para que a alta administração acompanhe o desempenho da
TI da instituição. (TCU, 2010).
Para atender esta determinação o Ministério do Planejamento e Orçamento -
MPOG fez publicar a Instrução Normativa IN 04/2010 que em seu artigo 4º
estabelece que as contratações das soluções de TI devam ser precedidas de
planejamento, elaborado em harmonia com o PDTI e alinhado ao planejamento
estratégico do órgão ou entidade.
Neste contexto, o Cobit (figura 1) observa que a necessidade de atender às
exigências regulatórias de controles de TI tem propiciado iniciativas de governança
de TI que incluem a adoção de metodologias de controles e boas práticas para
ampliar o valor do negócio e reduzir os riscos.
5 AVALIAÇÃO DO AMBIENTE
De maneira a avaliar a aplicação destes conceitos em um cenário real, foram
realizadas observações em duas instituições públicas, α e β, com o auxílio de um
questionário adaptado do questionário que foi utilizado pelo TCU em 2010, quando
da sua avaliação dos aspectos de Governança de TI em diversos órgãos e
entidades da Administração Pública Federal.
Tabela 1: Questionário adaptado
Há um processo de planejamento estratégico institucional formalmente (aprovado e publicado) instituído e acompanhado segundo indicadores e metas estabelecidos? Há um processo de planejamento estratégico de TI formalmente (aprovado e publicado) instituído e acompanhado segundo indicadores e metas
9
Texto apresentado na Pós-Graduação em Segurança da Informação da FacSENAC/DF - Abril/2011
estabelecidos? Há um Plano Diretor de Tecnologia da Informação - PDTI aprovado e publicado interna ou externamente, inclusive na internet para acesso livre? O PDTI vincula as ações de TI à indicadores e metas de negócio? Os custos de TI à atividades e projetos de TI? As ações de TI à indicadores e metas de serviços ao cidadão? A Alta Administração da instituição se responsabiliza pelo estabelecimento e pelo cumprimento das políticas de gestão e uso corporativos de TI? A instituição elabora e executa um plano de capacitação para atender às necessidades de capacitação em gestão de TI? A Alta Administração da instituição provê política de desenvolvimento de gestores de TI e implementa programa de acompanhamento de desempenho gerencial? Existe uma área específica para gerenciar incidentes de segurança da informação? As decisões acerca da priorização das ações e gastos de TI são tomadas pela Alta Administração da instituição, com apoio de um Comitê de TI como instância consultiva? A instituição formalizou (aprovou e publicou) a política corporativa de segurança da informação? Existe Plano de Continuidade de Negócios em vigor? O Órgão possui e mantém inventário dos ativos de informação (dados, hardware, software e instalações)? É feita classificação de informações e a análise de Riscos na área de TI? É efetuada a gestão de acordos de níveis de serviço (ANS) das soluções de TI do Órgão oferecido aos seus clientes? Os ANS são monitorados formalmente e seus resultados relatados periodicamente aos clientes? Os serviços oferecidos aos clientes estão formalmente elencados (aprovado e publicado)? Fonte: Levantamento de Governança de TI -2010 (TCU)
6 ANÁLISE DO RESULTADO
Baseado nas observações foi feita a tentativa de responder às questões
formuladas, verificando se o processo decisório relativo à gestão e uso de TI nas
organizações α e β é feito pela Alta Administração e se há políticas que suportam
esse esforço de gerenciamento, bem como se isto é realizado com auxílio de um
comitê formalmente designado, do qual participem representantes das diversas
áreas de negócio da instituição, conforme recomendado pelas boas práticas e pela
IN/SLTI/MPOG - 04/2010.
Além disso, procurou-se analisar, por meio de evidências documentais ( normas,
portarias, instruções, manuais) se no processo do planejamento estratégico são
10
Texto apresentado na Pós-Graduação em Segurança da Informação da FacSENAC/DF - Abril/2011
definidos os objetivos de negócio e os indicadores de desempenho associados, e se
estes são monitorados e avaliados periodicamente pela Alta Administração, tanto
para os processos de gestão de TI quanto para os processos relacionados ao uso
de TI na organização.
6.1 Resultados
Foi observado que em ambas as instituições estão formalmente constituídos
Comitês de TI, no entanto, enquanto na instituição α fazem parte desse Comitê
representantes de várias áreas relevantes dentro da instituição, estando vinculado à
presidência da instituição, na instituição β o comitê de TI está inserido no comitê de
Superintendentes, não envolvendo todas as áreas, tais como assessorias e setores
especializados, e suas funções não estão vinculadas à presidência da instituição.
Quanto ao planejamento estratégico (negócios), ambos possuem indicadores e
metas, sendo o primeiro planejamento estratégico da instituição β, referente ao
exercício de 2011.
O Plano Diretor de Tecnologia da Informação - PDTI está formalizado apenas na
instituição α, contendo projetos e ações de TI vinculadas a indicadores e metas de
negócio. Na instituição β, o PDTI para 2011 não foi formalizado devido ao
contingenciamento orçamentário do Executivo Federal que obrigou a uma completa
revisão dos custos de investimento em TI para o ano de 2011.
Quanto o Plano de Continuidade de Negócio - PCN, não foi observado sua
existência em nenhuma das instituições. Apesar da instituição α ter criado uma
Coordenadoria de Incidentes e Mudanças em TI, formada pelo Secretário e os
Subsecretários de TI, esta não se vinculada à Alta Direção e, portanto, não tem
capacidade de envolver todas as áreas e pessoas, como determina as boas práticas
de Governança de TI.
Outra evidência observada, diz respeito às prioridades de ações e gastos, pois
em ambas as instituições, muitas vezes o que é prioridade para a TI não é prioridade
para a Alta Administração. Apesar da tentativa de inserir estes gastos no
planejamento anual, outros fatores fazem com que os recursos que envolvem os
Ativos de informação sejam superados por outras prioridades, tais como obras e
custeios que refletem de forma imediata na imagem da instituição para o público
externo.
11
Texto apresentado na Pós-Graduação em Segurança da Informação da FacSENAC/DF - Abril/2011
Observou-se também que do quantitativo de pessoas que trabalham na área de
informática, a maioria é do quadro efetivo das instituições e que não há relação entre
as escolhas dos gestores de TI e suas competências técnicas. Há, entretanto, Plano
de Capacitação para atender às necessidades de capacitação em gestão de TI.
7 CONCLUSÃO
Foi apresentado que a segurança da informação exige que todos os agentes
envolvidos nas atividades e negócios das entidades tenham um maior preparo a fim
de evitar riscos de perdas de informações e que tem havido um crescente
envolvimento da área governamental com esta segurança, com publicações de
Instruções Normativas, Acórdãos e outras divulgações, incluindo de órgãos de
controle, para contribuir para o aperfeiçoamento de sua gestão.
Neste contexto, faz-se necessário garantir a continuidade de processos e
informações importantes da empresa, no menor espaço de tempo possível, evitando
ou minimizando os impactos de um incidente, por meio de um Plano de
Continuidade de Negócio - PCN.
Com o objetivo de aferir se o envolvimento da Alta Direção das entidades
contribui para uma eficiente gestão da segurança da informação com um efetivo
PCN, foi efetuada uma observação nos ambientes da instituição α e da instituição
β, utilizando um questionário direcionado a obter informações sobre Governança de
TI.
Diante dos resultados da análise, pôde-se verificar que em ambas as instituições
a questão sobre segurança da informação e ações do uso dos recursos de TI são
consideradas como de responsabilidade das áreas de TI, ou seja, o envolvimento da
Alta Direção se resume a emissão de regulamentos que dão suporte às ações do
setor de informática.
Os dados obtidos indicam que o conceito de governança de TI ainda não está
assimilado nas instituições pesquisadas, uma vez não há como se falar em
governança de TI se a alta administração não estabelece as diretrizes necessárias
para se responsabilizar pelas políticas corporativas de TI.
Prova disso está no fato de que o PDTI ou não está formalizado e, portanto, não
pode refletir na realidade o Planejamento Estratégico da instituição, ou foi elaborado
12
Texto apresentado na Pós-Graduação em Segurança da Informação da FacSENAC/DF - Abril/2011
apenas pelo setor de informática, na tentativa de direcionar suas ações em
consonância com as ações da instituição.
Sendo assim, e como forma de contribuir para melhorar o nível de
conscientização das entidades quanto à necessidade de participação dos dirigentes
no processo de Gestão da segurança da informação, evidencia-se que a falta de
envolvimento da Alta Direção das instituições α e β não permitiu que o PCN
estivesse formulado e em execução, conforme determina as normas da
Administração Pública Federal, como as emitidas pelo GSI/PR e pelo TCU, além do
que preconiza as boas práticas de Governança aceitas internacionalmente.
Finalmente, sugere-se que o assunto não se esgota com este trabalho, pelo
contrário, induz que outras pesquisas sejam aprimoradas, com novos questionários
e envolvendo um maior número de entidades, bem como prevendo encontros e
entrevistas com os seus dirigentes.
8 REFERÊNCIAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS — ABNT. NBR ISO/IEC 27001 - Tecnologia da informação — Técnicas de segurança — Sistemas de gestão de segurança da informação — Requisitos. Rio de Janeiro: ABNT. 2006.
_____. NBR ISO/IEC 27002 - Tecnologia da informação — Técnicas de segurança — Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT. 2005.
_____. NBR ISO/IEC 27005 - Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação. Rio de Janeiro: ABNT. 2008.
_____. NBR ISO/IEC Guia 73:2005 - Tecnologia da informação — Técnicas de segurança — Gestão da segurança da informação. Rio de Janeiro: ABNT. 2005.
BRASIL. Decreto nº. 3.505, de 13 de junho de 2000. Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal . Diário Oficial da União - DOU, seção 01, 14 de junho de 2000.
______. Decreto nº. 4.553, de 27 de dezembro de 2002. Dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração
13
Texto apresentado na Pós-Graduação em Segurança da Informação da FacSENAC/DF - Abril/2011
Pública Federal, e dá outras providências. Diário Oficial da União - DOU, seção 01, 30 de dezembro de 2002.
______. GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA - GSI/PR Instrução Normativa - IN/GSI/PR 01/2008. Disponível em: http://dsic.planalto.gov.br/legislacaodsic Acessado em: 02 dez.2010.
______. MINISTÉRIO DO PLANEJAMENTO, ORÇAMENTO E GESTÃO - MPOG. Instrução Normativa - IN/SLTI/MPOG 04/2010. Diário Oficial da União - DOU nº 218, seção 01, de 16 de novembro de 2010.
______. TRIBUNAL DE CONTAS DA UNIÃO - TCU. Acórdão 2.308-Plenário, de 08 de setembro de 2010. Disponível em: http://contas.tcu.gov.br/portaltextual/PesquisaFormulario?cmbTipoPesquisa=PROC
______. ______. Boas Práticas em Segurança da Informação. 3ª Ed. Brasília: Secretaria de Fiscalização de Tecnologia da Informação, 2007. Disponível em: http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas Acessado em: 14/02/2011.
______. ______. Levantamento de governança de TI 2010 / Relator Ministro Aroldo Cedraz. Brasília: TCU, 2010. Sumários Executivos p 40. Disponível em: http://www.tcu.gov.br/fiscalizacaoti Acessado em: 14/02/2011.
______. ______. Questionário Levantamento de Governança de TI -2010. Brasília: TCU, 2010. Disponível em: http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas Acessado em: 14/02/2011.
______. ______. Revista do Tribunal de Contas da União, número 117, 2010. Disponível em: http://portal2.tcu.gov.br/portal/page/portal/TCU/publicacoes_institucionais/periodicos/revista_tcu Acessado em: 15 abr. 2011.
CARDOSO, Rodolfo. Impacto das Práticas-Chave de Melhoria da Gestão (PCMG) no desempenho organizacional: uma metodologia de avaliação / Rodolfo Cardoso: Dissertação (mestrado). Instituto Militar de Engenharia, 2001 Instituto Militar de Engenharia 2001. Disponível em: http://www.gespublica.gov.br/biblioteca/pasta.2010-12-08.2954571235/pagina.2010-07-06.8858927064/ Acessado em: 15/04/2011.
CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY - COBIT 4.1. IT Governance Institute, 2007. Disponível em: http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx Acessado em: 15/04/2011.
14
Texto apresentado na Pós-Graduação em Segurança da Informação da FacSENAC/DF - Abril/2011
COSTA, Carlos Eduardo. Artigo: SISTEMAS DE INFORMAÇÃO - Sistemas de Gestão Empresarial. Produção Acadêmica. Disponível em: http://www.administradores.com.br/informe-se/producao-academica/sistemas-de-informacaosistemas-de-gestao-empresarial/358/ - Acessado em: 24 mar. 2011.
FERNANDES, Aguinaldo Aragon. ABREU, Vladimir Ferraz. Implantando a Governança de TI: da Estratégia à Gestão dos Processos e Serviços. 2º Ed. Brasport. Rio de Janeiro, 2008.
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA - IBGC. Código das Melhores Práticas de Governança Corporativa. 4.ed. / Instituto Brasileiro de Governança Corporativa. São Paulo, SP: IBGC, 2009. 73 p.
PEREIRA, Pedro J. F. Segurança da Informação Digital. Cadernos BAD, Lisboa, Portugal, 2005.
SILVA, Edilberto M. “Políticas de Segurança e Planos de Continuidade de Negócios: Texto base da disciplina da Pós-Graduação Segurança da Informação FACSENAC/DF”, 2011. Disponível em: http://www.edilms.eti.br/?cat=44 . em 15 abr. 2011. SILVA, G.F; OCULATO, T.R.C.S. A Informação: O maior patrimônio de uma organização. Faculdade de Informática de Presidente Prudente (FIPP). 2007. Disponível em: http://artigocientifico.uol.com.br/artigos/?mnu=1&smnu=5&artigo=1862. Acessado em: 02 dez. 2010.
UNIVERSIDADE FEDERAL DE SANTA MARIA - RS/ UFSM. Revista Eletrônica de Contabilidade. Artigo: Auditoria dos Sistemas de Informação Aliada à Gestão Empresarial. Simch, Maicom Rafael Victor; Tonetto, Tiago Squinzani. 2007. Disponível em: http://w3.ufsm.br/ revistacontabeis/ anterior/artigos/vIVn02/t005.pdf - Acessado em: 24 mar. 2011.
15
Texto apresentado na Pós-Graduação em Segurança da Informação da FacSENAC/DF - Abril/2011
MINI-CURRÍCULO DOS AUTORES
Gleyce Kelly Magalhães de Oliveira é Bacharel em Engenharia Elétrica com ênfase em Telecomunicações - Instituto de Educação Superior de Brasília (2008). Funcionária Pública lotada no Tribunal de Justiça do Distrito Federal e Territórios Brasília/DF - TJDFT, como Técnica Judiciária cargo de programação de sistemas. Tem experiência profissional nas áreas de Programação de Sistemas, Segurança de Redes, na área administrativa na elaboração de projetos de TI. Principais temas de interesse: Segurança da Informação, Gerência de Projetos.
Domingos Savio Evandro da Silva é Bacharel em Ciências Contábeis pela Universidade de Brasilia - UnB (1999), possui graduação incompleta em Engenharia Florestal - UnB (1989-1994), atualmente é servidor da Agência Nacional de Aviação Civil como Especialista em Regulação, com exercício na área de Auditoria Interna, sendo responsável pelo processo de auditoria interna do Sistema de Informação e Governança de TI do órgão. Com experiência em gestão do setor financeiro - Banco do Brasil (1994-2001) e como analista financeiro no Serviço Federal de Processamento de Dados - SERPRO (2001-2007), no qual exerceu a função de Gestor de Planejamento e de Orçamento, tendo, na ocasião, participado da integração e remanejamento dos recursos do Sistema de Administração Financeira - SIAFI para o Sistema Integrado das Empresas Estatais – SIEST/PDG. Temas de interesses: Gestão Pública, Governança Corporativa, Segurança da Informação e Comunicação, Auditoria de Sistema de Informação.
Edilberto Magalhães Silva - Bacharel em Ciência da Computação - Faculdades Integradas do Planalto Central (1996) e mestre em Gestão do Conhecimento e da Tecnologia da Informação pela Universidade Católica de Brasília (2002). Funcionário Público lotado no MCT - Ministério de Ciência e Tecnologia Brasília/DF como analista de TI (exercício descentralizado, MPOG). Professor titular da UNIPLAC - União Educacional do Planalto Central e FACSENAC - Faculdade Senac em Brasília/DF e tutor no curso de especialização lato sensu (pós-graduação) em segurança da informação na UnB/DF (modalidade EAD). Na área de Docência: Docente em curso de Pós-Graduação: Segurança da Informação; Coordenador de Trabalho de Conclusão de Curso; Tem experiência profissional nas áreas de Desenvolvimento de Sistemas, Análise e Modelagem de Sistemas, Banco de Dados e CICS Plataforma Alta (Mainframe). Principais temas de interesse: Text Mining, Sistemas de Suporte a Decisão, Metodologias de desenvolvimento de sistemas, crisp-dm, inteligência organizacional, aprendizagem organizacional, Data Warehouse e banco de dados.