vis o estrat gica da gest o da seguran a da...

1

Texto apresentado na Pós-Graduação em Segurança da Informação da FacSENAC/DF - Abril/2011

VISÃO ESTRATÉGICA DA GESTÃO DA SEGURANÇA DA INFORMA ÇÃO: UMA ANÁLISE AMBIENTAL DO ENVOLVIMENTO DA ALTA-DIREÇ ÃO NA

FORMULAÇÃO DE UM PLANO DE CONTINUIDADE DE NEGÓCIOS EFETIVO.

Gleyce Kelly Magalhães de Oliveira1, Domingos Savio Evandro da Silva 1 e Edilberto Silva1

1 Pós-Graduação em Segurança da Informação, FACSENAC-DF, Brasília-DF

[email protected]; [email protected]; [email protected]

Resumo . Hoje muitas empresas estão investindo em Segurança da Informação, treinando os seus funcionários para usarem os recursos tecnológicos em seus ambientes de trabalho de maneira eficiente e segura. Desta forma, este artigo busca apresentar algumas práticas e princípios geralmente aceitos e a necessidade de normativos que façam com que os usuários sejam dissuadidos de usar os recursos de processamento da informação para propósitos não autorizados. Além disso, na formulação de um Sistema de Gestão da Segurança da Informação faz-se necessário que todos os níveis da empresa, a começar pela cúpula dos dirigentes, sejam envolvidos para que os resultados sejam satisfatórios. Abstract: Today many companies are investing in information security, training staff to use technology resources in their work environments to efficiently and securely. Thus, this paper aims to outline some principles and practices generally accepted and the need for rules that make it possible for users are furtive from using the processing resources of information for unauthorized purposes. Moreover, the formulation of a Management System of Information Security it is necessary that all levels of the company, starting with the leaders summit, to be involved so that the results are satisfactory. Palavras-chave: Segurança da Informação. Leis. Gestão. Liderança.

2


1. INTRODUÇÃO

Cada vez mais a segurança da informação exige que todos os agentes envolvidos

nas atividades e negócios das Entidades tenham um maior preparo a fim de evitar

riscos de perdas de informações com prejuízos por vezes imensuráveis.

Geralmente a falta de orientação leva o funcionário a agir de forma inadequada.

Se houver uma orientação adequada ao funcionário em conjunto com as normas

existentes sobre o assunto, os incidentes, como perda da informação, roubo de

dados sigilosos, e a má utilização da tecnologia da informação, poderão ser

evitados.

Tem havido uma crescente preocupação da área governamental, tais como

Presidência da República - Gabinete de Segurança Institucional - GSI/PR, Tribunal

de Contas da União - TCU e Ministérios, com a segurança da informação fazendo

com que sejam publicadas Instruções Normativas, Acórdãos e outras divulgações

com o intuito de contribuir para o aperfeiçoamento de sua gestão.

Assim o uso indevido da informação pode ser dissuadido por meio de normativos

como o publicado pelo Gabinete de Segurança Institucional da Presidência da

República - GSI/PR: “Art 5º, II - aplicar as ações corretivas e disciplinares cabíveis

nos casos de quebra de segurança.” (IN/GSI/PR 01/2008).

Este artigo se propõe a apresentar algumas das abordagens práticas a respeito

da necessidade de formulação de políticas de seguranças e sua aderência com as

Normas existentes, bem como verificar o nível de conscientização das Entidades

quanto à necessidade de participação dos dirigentes no processo de Gestão da

Segurança da Informação.

Para isso, serão estudados os planos de segurança e as principais normas sobre

Segurança da Informação, analisando, por meio de observação, o nível de

conscientização dos dirigentes de um determinado Órgão Público quanto à

importância de se manter a segurança da informação nos processos. Outrossim,

será observada a existência de Plano de Continuidade de Negócio ou a indicação do

uso de algum Sistema de Gestão da Segurança da Informação, bem como se há

evidências de aderência com as normas referentes à Segurança da Informação.

Desta forma pretende-se contribuir, por meio dos resultados das observações,

para o aperfeiçoamento do nível de conscientização das Entidades quanto à

3


necessidade de participação dos dirigentes no processo de Gestão da Segurança da

Informação.

2. FATORES RELACIONADOS À SEGURANÇA DA INFORMAÇÃO

Atualmente os sistemas e serviços de Segurança da Informação são

considerados pelas organizações como importantes instrumentos para

gerenciamento da informação. “São as práticas, os procedimentos e os mecanismos

usados para a proteção da informação e seus ativos, que podem impedir que

ameaças explorem vulnerabilidades...” (SÊMOLA, 2003 apud SILVA, G.F;

OCULATO, T.R.C.S. 2007).

Segundo a abordagem de Boas Práticas adotada pelo Tribunal de Contas da

União (TCU, 2007): "A maioria dos sistemas operacionais possui mecanismos de

controle de acesso que definem as permissões e os privilégios de acesso para cada

recurso ou arquivo no sistema. Quando um usuário tenta acessar um recurso, o

sistema operacional verifica se as definições de acesso desse usuário e do recurso

desejado conferem. O usuário só conseguirá o acesso se essa verificação for

positiva."

Entende-se que esses mecanismos de segurança só terão sua eficiência

assegurada se houver um efetivo comprometimento de cada indivíduo da

organização, sendo necessário que haja um processo continuo de educação e

treinamento.

No entanto, tais treinamentos só trarão resultados efetivos em termos de

Segurança da Informação se houver normativos que assegurem a obrigatoriedade

para todos os níveis da organização, determinando punições em caso de

descumprimento.

Com relação a isso, observamos que o Setor Público Federal vem adotando

medidas para garantir que o processo de Gestão da Segurança da Informação atinja

os resultados esperados. A IN/GSI/PR 01/2008 determina em seu artigo 5º que aos

órgãos e entidades da Administração Pública Federal, direta e indireta, em seu

âmbito de atuação, competem coordenar as ações de segurança da informação e

comunicações, além de aplicar as ações corretivas e disciplinares cabíveis nos

casos de quebra de segurança.

4


Sendo assim, faz-se necessário adotar outros instrumentos que possuam um

caráter normativo ou uma relação de boas práticas, com princípios geralmente

aceitos pela comunidade internacional, tais como o ISO 27001:2006 e 27002:2005

da Associação Brasileira de Normas Técnicas - ABNT e os Objetivos de Controle da

Associação Internacional de Auditoria de Sistema de Informação - COBIT/ISACA,

além dos normativos da Biblioteca de Infraestrutura de Tecnologia da Informação do

Escritório de Comércio de Governo da Inglaterra - ITIL.

2.1 Classificação da Informação

A informação pode ser classificada em quatro tipos principais, isto é, as públicas

que são distribuídas sem restrições, voltadas ao público; as internas que são de

interesse específico interno de uma empresa; particular é aquela que se por ventura

cair em mãos erradas prejudicará não somente a empresa, e sim principalmente o

próprio funcionário e confidencial aquelas que são operacionais da empresa, que

possuem segredos comerciais da empresa. (SILVA, G.F; OCULATO, T.R.C.S. 2007)

Este tipo de classificação também está regulamentado para o Setor Público pelo

Decreto 3.505/2000 - Política de Segurança da Informação e Decreto 4.553/2002 -

Salvaguarda de dados sigilosos, ambos da Casa Civil da Presidência da República.

2.2 Normas ISO relacionadas

ISO/IEC 27001:2006 - Esta Norma foi preparada para prover um modelo para

estabelecer, implementar, operar, monitorar, analisar criticamente, manter e

melhorar um Sistema de Gestão de Segurança da Informação (SGSI).

ISO/IEC 27002:2005 - Estabelece diretrizes e princípios gerais para iniciar,

implementar, manter e melhorar a gestão de segurança da informação em uma

organização.

ISO/IEC 27005:2008 - Fornece diretrizes para a segurança da informação da

gestão de riscos, tendo como objetivo fornecer um guia para a implementação de

gerenciamento de riscos orientado ao processo e para auxiliar no cumprimento

satisfatório da implementação da gestão de riscos da informação, baseado nos

requisitos da norma ISO/IEC 27001.

2.3 Planos e Políticas

5


Plano de Continuidade de Negócio – Garantir a continuidade de processos e

informações vitais à sobrevivência da empresa, no menor espaço de tempo possível,

com o objetivo de minimizar os impactos do desastre. (SILVA, E.M. 2011).

Sua composição segue a seguinte equação:

Sendo:

AIN - Análise de Impacto de Negócio - Ajuda as organizações a identificarem as

suas atividades e os recursos críticos e permite mensurar o impacto da falha de

recursos críticos na organização.

PAC - Plano de Administração de Crises - Define passo-a-passo o

funcionamento das equipes antes, durante e depois da ocorrência do incidente. Tem

como objetivo definir os procedimentos a serem executados até o retorno normal

das atividades.

PCO - Plano de Continuidade Operacional - Define os procedimentos para

contingenciamento dos ativos. Tem como objetivo reduzir o tempo de

indisponibilidade e os impactos potenciais ao negócio.

PRD - Plano de recuperação de Desastres - Abrange a recuperação e

restauração das funcionalidades dos ativos humanos, operacionais, tecnológicos

que suportam o negócio. Tem como objetivo restabelecer o ambiente às condições

originais de operação.

3 VALOR DA INFORMAÇÃO

Baseado no conceito de valor mensurável da Informação torna-se possível

proceder ao inventário dos Ativos de Informação (tangíveis e intangíveis tais como

infraestrutura física e lógica, equipamentos, aplicativos, licenças, etc) para que seja

feita a identificação, análise e gerenciamento do risco (ABNT NBR ISO/IEC

27001:2006).

De acordo com o COBIT (ITGI, 2007) as organizações não podem atingir seus

requisitos de negócios e governança sem adotar e implementar um modelo para

6


governança e controle de TI e que este modelo define as razões pelas quais a

governança de TI é necessária, quais são as partes interessadas e o que esse

modelo precisa atingir.

Figura 1: Boas práticas para controles de TI em tod a a empresa

Desta forma o COBIT (ITGI, 2007) estabelece definições e ações que auxiliam na

proposição de valores para os processos de TI:

PO1 - Definir um Plano Estratégico de TI - O planejamento estratégico de TI é

necessário para gerenciar todos os recursos de TI em alinhamento com as

prioridades e estratégias de negócio. A função de TI e as partes interessadas pelo

negócio são responsáveis por garantir a otimização do valor a ser obtido do portfólio

de projetos e serviços. [...] PO1.4 Plano Estratégico de TI - Criar um plano

estratégico que defina, em cooperação com as partes interessadas relevantes, como

a TI contribuirá com os objetivos estratégicos da organização (metas) e quais os

custos e riscos relacionados...

A informação não se limita ao que é produzida na empresa. Matsuda (2007 apud

Costa 2007) esclarece que a informação deve ser analisada por diversos ângulos,

como informação para o trabalho e relacionais; informação interna e externa;

informação qualitativa e quantitativa; informação formal e informal e informação

altamente especializada. Informação certa e disponível no tempo correto é

determinante para que os administradores tomem decisões mais acertadas.

7


4 IMPORTÂNCIA DA ALTA DIREÇÃO NO PLANEJAMENTO ESTR ATÉGICO E

NA GOVERNANÇA DE TI

Na literatura existe um consenso de que o processo de mudanças referente à

implementação de uma estrutura de melhoria, sempre se inicia após uma tomada de

decisão pelos principais gestores (NEVES, 2000, p.32 apud CARDOSO 2001).

Pode-se citar o que ocorreu no TCU, envolveu a alta direção para que a criação

da Secretaria de Fiscalização de Tecnologia da Informação - SEFTI estivesse

amplamente respaldada.

Com o apoio da alta administração do TCU começamos a

identificar quais seriam as informações essenciais a serem

levantadas previamente à formulação do referencial estratégico

da Sefti. (TCU - Revista do Tribunal de Contas da União.

Número 117, 2010 ).

Existem diversas condições que devem ser atendidas, tais como um

conhecimento sobre todo o desenrolar do processo de mudanças, para que seja

possível manter os esforços e o interesse de todos (KELADA, 1996, p. 9-10 apud

CARDOSO, 2001).

É fundamental alinhar os processos com os objetivos organizacionais. É

necessário, então, definir claramente esses processos para que a organização

canalize os recursos para que sejam alcançados os objetivos.

Aparentemente, ainda é uma novidade o conceito de que governar a TI, por se

tratar de uma área crítica para o alcance dos objetivos da instituição, é

responsabilidade da alta administração. Essa lacuna demanda ação específica do

TCU, pois a análise dos dados sugere que há correlação entre a liderança da alta

administração na governança de TI em relação às outras dimensões, especialmente

com relação à dimensão “processos de TI”. Assim, como preconizado pelo objetivo

de controle ME1 do Cobit, a melhor forma para alcançar boa governança de TI seria

atuar fortemente sobre o comportamento da alta administração. (TCU, 2010).

O TCU observa que os modelos de “boas práticas” e as normas técnicas atribuem

à alta administração a responsabilidade de governar a TI. No entanto, há alguns

8


elementos importantes que devem ser implantados para que esse governo seja

efetivo, entre os quais se destaca a dimensão Liderança.

Neste sentido, o Tribunal expediu por meio do Acórdão 1.603/2008, ratificado pelo

Acórdão nº. 2.308/2010-TCU Plenário, recomendação para que os órgãos

governantes superiores da Administração Pública Federal orientassem e

normatizassem a obrigatoriedade da alta administração de cada instituição sob sua

jurisdição de estabelecerem formalmente: objetivos institucionais de TI alinhados às

estratégias de negócio, indicadores para cada objetivo definido, preferencialmente

em termos de benefícios para o negócio da instituição, metas para cada indicador

definido e mecanismos para que a alta administração acompanhe o desempenho da

TI da instituição. (TCU, 2010).

Para atender esta determinação o Ministério do Planejamento e Orçamento -

MPOG fez publicar a Instrução Normativa IN 04/2010 que em seu artigo 4º

estabelece que as contratações das soluções de TI devam ser precedidas de

planejamento, elaborado em harmonia com o PDTI e alinhado ao planejamento

estratégico do órgão ou entidade.

Neste contexto, o Cobit (figura 1) observa que a necessidade de atender às

exigências regulatórias de controles de TI tem propiciado iniciativas de governança

de TI que incluem a adoção de metodologias de controles e boas práticas para

ampliar o valor do negócio e reduzir os riscos.

5 AVALIAÇÃO DO AMBIENTE

De maneira a avaliar a aplicação destes conceitos em um cenário real, foram

realizadas observações em duas instituições públicas, α e β, com o auxílio de um

questionário adaptado do questionário que foi utilizado pelo TCU em 2010, quando

da sua avaliação dos aspectos de Governança de TI em diversos órgãos e

entidades da Administração Pública Federal.

Tabela 1: Questionário adaptado

Há um processo de planejamento estratégico institucional formalmente (aprovado e publicado) instituído e acompanhado segundo indicadores e metas estabelecidos? Há um processo de planejamento estratégico de TI formalmente (aprovado e publicado) instituído e acompanhado segundo indicadores e metas

9


estabelecidos? Há um Plano Diretor de Tecnologia da Informação - PDTI aprovado e publicado interna ou externamente, inclusive na internet para acesso livre? O PDTI vincula as ações de TI à indicadores e metas de negócio? Os custos de TI à atividades e projetos de TI? As ações de TI à indicadores e metas de serviços ao cidadão? A Alta Administração da instituição se responsabiliza pelo estabelecimento e pelo cumprimento das políticas de gestão e uso corporativos de TI? A instituição elabora e executa um plano de capacitação para atender às necessidades de capacitação em gestão de TI? A Alta Administração da instituição provê política de desenvolvimento de gestores de TI e implementa programa de acompanhamento de desempenho gerencial? Existe uma área específica para gerenciar incidentes de segurança da informação? As decisões acerca da priorização das ações e gastos de TI são tomadas pela Alta Administração da instituição, com apoio de um Comitê de TI como instância consultiva? A instituição formalizou (aprovou e publicou) a política corporativa de segurança da informação? Existe Plano de Continuidade de Negócios em vigor? O Órgão possui e mantém inventário dos ativos de informação (dados, hardware, software e instalações)? É feita classificação de informações e a análise de Riscos na área de TI? É efetuada a gestão de acordos de níveis de serviço (ANS) das soluções de TI do Órgão oferecido aos seus clientes? Os ANS são monitorados formalmente e seus resultados relatados periodicamente aos clientes? Os serviços oferecidos aos clientes estão formalmente elencados (aprovado e publicado)? Fonte: Levantamento de Governança de TI -2010 (TCU)

6 ANÁLISE DO RESULTADO

Baseado nas observações foi feita a tentativa de responder às questões

formuladas, verificando se o processo decisório relativo à gestão e uso de TI nas

organizações α e β é feito pela Alta Administração e se há políticas que suportam

esse esforço de gerenciamento, bem como se isto é realizado com auxílio de um

comitê formalmente designado, do qual participem representantes das diversas

áreas de negócio da instituição, conforme recomendado pelas boas práticas e pela

IN/SLTI/MPOG - 04/2010.

Além disso, procurou-se analisar, por meio de evidências documentais ( normas,

portarias, instruções, manuais) se no processo do planejamento estratégico são

10


definidos os objetivos de negócio e os indicadores de desempenho associados, e se

estes são monitorados e avaliados periodicamente pela Alta Administração, tanto

para os processos de gestão de TI quanto para os processos relacionados ao uso

de TI na organização.

6.1 Resultados

Foi observado que em ambas as instituições estão formalmente constituídos

Comitês de TI, no entanto, enquanto na instituição α fazem parte desse Comitê

representantes de várias áreas relevantes dentro da instituição, estando vinculado à

presidência da instituição, na instituição β o comitê de TI está inserido no comitê de

Superintendentes, não envolvendo todas as áreas, tais como assessorias e setores

especializados, e suas funções não estão vinculadas à presidência da instituição.

Quanto ao planejamento estratégico (negócios), ambos possuem indicadores e

metas, sendo o primeiro planejamento estratégico da instituição β, referente ao

exercício de 2011.

O Plano Diretor de Tecnologia da Informação - PDTI está formalizado apenas na

instituição α, contendo projetos e ações de TI vinculadas a indicadores e metas de

negócio. Na instituição β, o PDTI para 2011 não foi formalizado devido ao

contingenciamento orçamentário do Executivo Federal que obrigou a uma completa

revisão dos custos de investimento em TI para o ano de 2011.

Quanto o Plano de Continuidade de Negócio - PCN, não foi observado sua

existência em nenhuma das instituições. Apesar da instituição α ter criado uma

Coordenadoria de Incidentes e Mudanças em TI, formada pelo Secretário e os

Subsecretários de TI, esta não se vinculada à Alta Direção e, portanto, não tem

capacidade de envolver todas as áreas e pessoas, como determina as boas práticas

de Governança de TI.

Outra evidência observada, diz respeito às prioridades de ações e gastos, pois

em ambas as instituições, muitas vezes o que é prioridade para a TI não é prioridade

para a Alta Administração. Apesar da tentativa de inserir estes gastos no

planejamento anual, outros fatores fazem com que os recursos que envolvem os

Ativos de informação sejam superados por outras prioridades, tais como obras e

custeios que refletem de forma imediata na imagem da instituição para o público

externo.

11


Observou-se também que do quantitativo de pessoas que trabalham na área de

informática, a maioria é do quadro efetivo das instituições e que não há relação entre

as escolhas dos gestores de TI e suas competências técnicas. Há, entretanto, Plano

de Capacitação para atender às necessidades de capacitação em gestão de TI.

7 CONCLUSÃO

Foi apresentado que a segurança da informação exige que todos os agentes

envolvidos nas atividades e negócios das entidades tenham um maior preparo a fim

de evitar riscos de perdas de informações e que tem havido um crescente

envolvimento da área governamental com esta segurança, com publicações de

Instruções Normativas, Acórdãos e outras divulgações, incluindo de órgãos de

controle, para contribuir para o aperfeiçoamento de sua gestão.

Neste contexto, faz-se necessário garantir a continuidade de processos e

informações importantes da empresa, no menor espaço de tempo possível, evitando

ou minimizando os impactos de um incidente, por meio de um Plano de

Continuidade de Negócio - PCN.

Com o objetivo de aferir se o envolvimento da Alta Direção das entidades

contribui para uma eficiente gestão da segurança da informação com um efetivo

PCN, foi efetuada uma observação nos ambientes da instituição α e da instituição

β, utilizando um questionário direcionado a obter informações sobre Governança de

TI.

Diante dos resultados da análise, pôde-se verificar que em ambas as instituições

a questão sobre segurança da informação e ações do uso dos recursos de TI são

consideradas como de responsabilidade das áreas de TI, ou seja, o envolvimento da

Alta Direção se resume a emissão de regulamentos que dão suporte às ações do

setor de informática.

Os dados obtidos indicam que o conceito de governança de TI ainda não está

assimilado nas instituições pesquisadas, uma vez não há como se falar em

governança de TI se a alta administração não estabelece as diretrizes necessárias

para se responsabilizar pelas políticas corporativas de TI.

Prova disso está no fato de que o PDTI ou não está formalizado e, portanto, não

pode refletir na realidade o Planejamento Estratégico da instituição, ou foi elaborado

12


apenas pelo setor de informática, na tentativa de direcionar suas ações em

consonância com as ações da instituição.

Sendo assim, e como forma de contribuir para melhorar o nível de

conscientização das entidades quanto à necessidade de participação dos dirigentes

no processo de Gestão da segurança da informação, evidencia-se que a falta de

envolvimento da Alta Direção das instituições α e β não permitiu que o PCN

estivesse formulado e em execução, conforme determina as normas da

Administração Pública Federal, como as emitidas pelo GSI/PR e pelo TCU, além do

que preconiza as boas práticas de Governança aceitas internacionalmente.

Finalmente, sugere-se que o assunto não se esgota com este trabalho, pelo

contrário, induz que outras pesquisas sejam aprimoradas, com novos questionários

e envolvendo um maior número de entidades, bem como prevendo encontros e

entrevistas com os seus dirigentes.

8 REFERÊNCIAS

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS — ABNT. NBR ISO/IEC 27001 - Tecnologia da informação — Técnicas de segurança — Sistemas de gestão de segurança da informação — Requisitos. Rio de Janeiro: ABNT. 2006.

_____. NBR ISO/IEC 27002 - Tecnologia da informação — Técnicas de segurança — Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT. 2005.

_____. NBR ISO/IEC 27005 - Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação. Rio de Janeiro: ABNT. 2008.

_____. NBR ISO/IEC Guia 73:2005 - Tecnologia da informação — Técnicas de segurança — Gestão da segurança da informação. Rio de Janeiro: ABNT. 2005.

BRASIL. Decreto nº. 3.505, de 13 de junho de 2000. Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal . Diário Oficial da União - DOU, seção 01, 14 de junho de 2000.

______. Decreto nº. 4.553, de 27 de dezembro de 2002. Dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração

13


Pública Federal, e dá outras providências. Diário Oficial da União - DOU, seção 01, 30 de dezembro de 2002.

______. GABINETE DE SEGURANÇA INSTITUCIONAL DA PRESIDÊNCIA DA REPÚBLICA - GSI/PR Instrução Normativa - IN/GSI/PR 01/2008. Disponível em: http://dsic.planalto.gov.br/legislacaodsic Acessado em: 02 dez.2010.

______. MINISTÉRIO DO PLANEJAMENTO, ORÇAMENTO E GESTÃO - MPOG. Instrução Normativa - IN/SLTI/MPOG 04/2010. Diário Oficial da União - DOU nº 218, seção 01, de 16 de novembro de 2010.

______. TRIBUNAL DE CONTAS DA UNIÃO - TCU. Acórdão 2.308-Plenário, de 08 de setembro de 2010. Disponível em: http://contas.tcu.gov.br/portaltextual/PesquisaFormulario?cmbTipoPesquisa=PROC

______. ______. Boas Práticas em Segurança da Informação. 3ª Ed. Brasília: Secretaria de Fiscalização de Tecnologia da Informação, 2007. Disponível em: http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas Acessado em: 14/02/2011.

______. ______. Levantamento de governança de TI 2010 / Relator Ministro Aroldo Cedraz. Brasília: TCU, 2010. Sumários Executivos p 40. Disponível em: http://www.tcu.gov.br/fiscalizacaoti Acessado em: 14/02/2011.

______. ______. Questionário Levantamento de Governança de TI -2010. Brasília: TCU, 2010. Disponível em: http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/boas_praticas Acessado em: 14/02/2011.

______. ______. Revista do Tribunal de Contas da União, número 117, 2010. Disponível em: http://portal2.tcu.gov.br/portal/page/portal/TCU/publicacoes_institucionais/periodicos/revista_tcu Acessado em: 15 abr. 2011.

CARDOSO, Rodolfo. Impacto das Práticas-Chave de Melhoria da Gestão (PCMG) no desempenho organizacional: uma metodologia de avaliação / Rodolfo Cardoso: Dissertação (mestrado). Instituto Militar de Engenharia, 2001 Instituto Militar de Engenharia 2001. Disponível em: http://www.gespublica.gov.br/biblioteca/pasta.2010-12-08.2954571235/pagina.2010-07-06.8858927064/ Acessado em: 15/04/2011.

CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY - COBIT 4.1. IT Governance Institute, 2007. Disponível em: http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx Acessado em: 15/04/2011.

14


COSTA, Carlos Eduardo. Artigo: SISTEMAS DE INFORMAÇÃO - Sistemas de Gestão Empresarial. Produção Acadêmica. Disponível em: http://www.administradores.com.br/informe-se/producao-academica/sistemas-de-informacaosistemas-de-gestao-empresarial/358/ - Acessado em: 24 mar. 2011.

FERNANDES, Aguinaldo Aragon. ABREU, Vladimir Ferraz. Implantando a Governança de TI: da Estratégia à Gestão dos Processos e Serviços. 2º Ed. Brasport. Rio de Janeiro, 2008.

INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA - IBGC. Código das Melhores Práticas de Governança Corporativa. 4.ed. / Instituto Brasileiro de Governança Corporativa. São Paulo, SP: IBGC, 2009. 73 p.

PEREIRA, Pedro J. F. Segurança da Informação Digital. Cadernos BAD, Lisboa, Portugal, 2005.

SILVA, Edilberto M. “Políticas de Segurança e Planos de Continuidade de Negócios: Texto base da disciplina da Pós-Graduação Segurança da Informação FACSENAC/DF”, 2011. Disponível em: http://www.edilms.eti.br/?cat=44 . em 15 abr. 2011. SILVA, G.F; OCULATO, T.R.C.S. A Informação: O maior patrimônio de uma organização. Faculdade de Informática de Presidente Prudente (FIPP). 2007. Disponível em: http://artigocientifico.uol.com.br/artigos/?mnu=1&smnu=5&artigo=1862. Acessado em: 02 dez. 2010.

UNIVERSIDADE FEDERAL DE SANTA MARIA - RS/ UFSM. Revista Eletrônica de Contabilidade. Artigo: Auditoria dos Sistemas de Informação Aliada à Gestão Empresarial. Simch, Maicom Rafael Victor; Tonetto, Tiago Squinzani. 2007. Disponível em: http://w3.ufsm.br/ revistacontabeis/ anterior/artigos/vIVn02/t005.pdf - Acessado em: 24 mar. 2011.

15


MINI-CURRÍCULO DOS AUTORES

Gleyce Kelly Magalhães de Oliveira é Bacharel em Engenharia Elétrica com ênfase em Telecomunicações - Instituto de Educação Superior de Brasília (2008). Funcionária Pública lotada no Tribunal de Justiça do Distrito Federal e Territórios Brasília/DF - TJDFT, como Técnica Judiciária cargo de programação de sistemas. Tem experiência profissional nas áreas de Programação de Sistemas, Segurança de Redes, na área administrativa na elaboração de projetos de TI. Principais temas de interesse: Segurança da Informação, Gerência de Projetos.

Domingos Savio Evandro da Silva é Bacharel em Ciências Contábeis pela Universidade de Brasilia - UnB (1999), possui graduação incompleta em Engenharia Florestal - UnB (1989-1994), atualmente é servidor da Agência Nacional de Aviação Civil como Especialista em Regulação, com exercício na área de Auditoria Interna, sendo responsável pelo processo de auditoria interna do Sistema de Informação e Governança de TI do órgão. Com experiência em gestão do setor financeiro - Banco do Brasil (1994-2001) e como analista financeiro no Serviço Federal de Processamento de Dados - SERPRO (2001-2007), no qual exerceu a função de Gestor de Planejamento e de Orçamento, tendo, na ocasião, participado da integração e remanejamento dos recursos do Sistema de Administração Financeira - SIAFI para o Sistema Integrado das Empresas Estatais – SIEST/PDG. Temas de interesses: Gestão Pública, Governança Corporativa, Segurança da Informação e Comunicação, Auditoria de Sistema de Informação.

Edilberto Magalhães Silva - Bacharel em Ciência da Computação - Faculdades Integradas do Planalto Central (1996) e mestre em Gestão do Conhecimento e da Tecnologia da Informação pela Universidade Católica de Brasília (2002). Funcionário Público lotado no MCT - Ministério de Ciência e Tecnologia Brasília/DF como analista de TI (exercício descentralizado, MPOG). Professor titular da UNIPLAC - União Educacional do Planalto Central e FACSENAC - Faculdade Senac em Brasília/DF e tutor no curso de especialização lato sensu (pós-graduação) em segurança da informação na UnB/DF (modalidade EAD). Na área de Docência: Docente em curso de Pós-Graduação: Segurança da Informação; Coordenador de Trabalho de Conclusão de Curso; Tem experiência profissional nas áreas de Desenvolvimento de Sistemas, Análise e Modelagem de Sistemas, Banco de Dados e CICS Plataforma Alta (Mainframe). Principais temas de interesse: Text Mining, Sistemas de Suporte a Decisão, Metodologias de desenvolvimento de sistemas, crisp-dm, inteligência organizacional, aprendizagem organizacional, Data Warehouse e banco de dados.

vis o estrat gica da gest o da seguran a da...

Documents