Escolar Documentos
Profissional Documentos
Cultura Documentos
Braslia
2011
der Souza Gualberto
Braslia
2011
der Souza Gualberto
3
Braslia
Novembro de 2011
4
Dedicatria
Ao meu Deus:
Pelo dom da vida e por todas maravilhosas oportunidades que me foram dadas;
Ao meu irmo:
dison, meu grande amigo, por todo apoio e camaradagem sempre presentes.
Aos amigos:
Em especial ao Jurami, Emlio e Fernando, que acompanharam esta caminhada e
que fizeram dela algo mais prazeroso.
7
Agradecimentos
No importa onde,
no h uma nica pessoa que no seja capaz de fazer
mais do que pensa que pode.
Henry Ford.
9
Lista de Figuras
Figura 1: Modelo PDCA aplicado aos processos do SGSI (fonte: ABNT, 2006).......32
Sumrio
Dedicatria .................................................................................................................. 6
Agradecimentos .......................................................................................................... 7
Sumrio ..................................................................................................................... 10
Resumo ..................................................................................................................... 12
Abstract ..................................................................................................................... 13
4 Resultados ............................................................................................................. 53
Resumo
A proposta deste trabalho foi verificar o tratamento dado por uma organizao
questo da segurana da informao quando das suas contrataes de solues de
TI. Para isso foram pesquisados os principais conceitos e teorias a cerca dos
tpicos: segurana da informao e contrataes de solues de TI na
administrao pblica federal. Como metodologia para pesquisa foi utilizada a
tcnica de estudo de caso. Foram colhidos dados e informaes a cerca dos tpicos
citados acima, que permitiram traar o cenrio da organizao relativo segurana
da informao e relativo ao processo de contratao de solues de TI. Diante do
contexto observado, foi possvel verificar a problemtica a que este trabalho se
props responder. De forma geral, observou-se que a questo da segurana da
informao na organizao estudada ainda inicial, e que, de forma especfica, no
mbito das contrataes de solues de TI, a no-preocupao com requisitos
relativos a esta questo reflexo deste cenrio geral.
13
Abstract
The purpose of this work was check the treatment that an organization gives to the
information security question on yours IT solutions procurement. To this endeavor,
the main concepts and theories about the following topics were studied: information
security and IT solutions procurement in the federal public administration. Case study
technique was the methodology chosen to this research. Overall, it was observed
that the issue of information security in the organization is still incipient, and,
specifically, within the IT solutions procurement, the non-concern with requirements
on this issue reflects this scenario.
14
1 Delimitao do Problema
1.1 Introduo
1.2 Problemtica
1
Qualquer coisa que tenha valor para a organizao. (ABNT,2005)
16
1.3.3 Escopo
1.4 Metodologia
Este estudo de caso teve como objetivo observar e descrever a questo da
segurana da informao nos processos de contrataes de solues de TI (assim
como nos contratos resultantes) no mbito da Organizao OPF. O estudo de caso
desta pesquisa, embora se atenha a descrever alguns detalhes do fenmeno
pesquisado, foi de natureza exploratria, com vistas a identificar a situao atual da
segurana da informao na autarquia. Baseou-se em uma abordagem qualitativa,
utilizando como tcnicas e mtodos de pesquisa, os seguintes:
1.4.3 Entrevistas
Por meio dos questionrios que se encontram no apndice deste trabalho,
foram realizadas entrevistas, nos meses de maio, junho e julho deste ano, com os
18
1.5 Justificativa
1.6 Hipteses
Captulo 1:
apresentada a motivao para a realizao deste trabalho, explicitando a
importncia de gerir a segurana da informao nas contrataes de solues de TI
celebradas entre a Administrao Pblica e terceiros. So traados o objetivo geral e
os objetivos especficos deste trabalho, assim como a metodologia, sua justificativa
e hipteses.
Captulo 2:
Elencam-se os princpios e conceitos relacionados segurana da
informao e sua gesto, alm do contexto deste domnio de conhecimento relativo
Administrao Pblica Federal, explicitando as leis e diretrizes aplicveis, alm
das medidas e aes tomadas quanto a este tema.
Captulo 3:
Discutem-se as contrataes de solues de TI no mbito da APF, e assim
como no captulo 2 explicitam-se as principais leis e diretrizes aplicveis.
Captulo 4:
So apresentados os resultados obtidos no estudo de caso realizado na
Organizao OPF: suas caractersticas e contexto, seus requisitos de conformidade,
a situao da segurana da informao na organizao, assim como o processo de
contratao de solues de TI em vigor e o tratamento dado segurana da
informao nos contratos celebrados por esta autarquia.
Captulo 5:
So analisados os resultados obtidos no estudo de caso, discutindo o cenrio
encontrado e explicitando as principais deficincias no tratamento da segurana da
informao no mbito das contrataes de solues de TI. Estas consideraes so
feitas com base nas melhores prticas, normas e legislaes relacionadas descritas
no captulo 2.
20
Captulo 6:
Neste captulo, so apresentadas as principais concluses deste
trabalho.
21
2.3.1 ABNT NBR ISO/IEC 27002 - Cdigo de prtica para a gesto da segurana
da informao
2.1.3.11 Conformidade
Elenca os objetivos de controle e controles necessrios para que a
organizao possa respeitar os requisitos de conformidade relacionados
segurana da informao a que est sujeita, ou seja, tem como objetivo garantir que
o conjunto de normas, leis, regulamentaes, polticas etc (impostas interna ou
externamente) sejam cumpridos.
Anlise de Riscos
35
De acordo com Pietro (2010), o termo administrao pblica diz respeito tanto
ao conjunto de atividades desenvolvidas pelo Estado quanto aos entes que exercem
estas atividades administrativas, ou seja, relativo ao aparato de entes e rgos, e
processos que tm como principal objetivo a administrao da mquina pblica,
tendo como principal princpio o interesse coletivo.
38
3 Contrataes de Solues de TI
de penalidades etc), que caracterizam esse tipo de relao jurdica como vertical, ao
invs de horizontal, como so as relaes nos contratos sob o direito privado.
Conforme dispe (Brasil, 1993):
No seu acrdo de n 786 do ano de 2006, o TCU rela tou o contexto ento
encontrado em praticamente toda a APF, no que tange licitao e contratao de
servios de TI. Problemas como: contratao por postos de trabalho (ou homem-
hora), falta de critrios de controle e metodologia de avaliao da qualidade dos
servios/produtos, itens/clusulas nos editais/termos de referncia que podiam
restringir a competitividade e violar o princpio da isonomia, especificaes de objeto
mal-definidas dentre vrios outros.
A criticidade das questes problemticas apontadas acima pode ser
percebida no trecho do voto no Ministro Relator Valmir Campelo onde o mesmo
discorre acerca da contratao pela mtrica homem-hora e da falta de critrios para
mensurao dos servios prestados, (TCU, 2006):
4 Resultados
A Organizao OPF uma autarquia em regime especial que tem por misso
regular a execuo, por particular, de servios pblicos de estado relacionados a um
setor especfico de mercado.
Autarquia, conforme expressa o art. 5 de (BRASIL,1967), "o servio
autnomo, criado por lei, com personalidade jurdica, patrimnio e receita prprios,
para executar atividades tpicas da Administrao Pblica, que requeiram para seu
melhor funcionamento, gesto administrativa e financeira descentralizada.". J o
regime especial diz respeito autonomia financeira e a independncia administrativa
necessrias ao exerccio da atividade de regulao, que exorbitam s propriedades
de uma autarquia, conforme explica Pietro (2010).
Para realizar sua misso, que regular um setor de mercado especfico, de
forma que o mesmo se desenvolva e seja capaz de oferecer a todo Brasil os
servios esperados, esta organizao possui representaes espalhadas por todo o
54
4.1.4 Stakeholders
Clientes:
56
Sociedade;
Empresas do setor;
O Estado;
Colaboradores:
Servidores pblicos efetivos de carreira ;
Servidores pblicos nomeados;
Empregados e servidores pblicos cedidos de outros rgos e
entidades;
Funcionrios terceirizados;
Assinado em 10 de julho de 2008, est em seu 3 termo aditivo, com validade at dia
09 de julho de 2012.
6.1 Concluses
Este trabalho teve como objetivo verificar qual o tratamento dado por uma
organizao segurana da informao em suas contrataes de solues de TI, ou
seja, analis-la quanto ao estabelecimento de controles que preservem a segurana
da informao em suas contrataes deste cunho.
Neste sentido foram analisados aspectos relacionados segurana da
informao e contratao de solues de TI na Organizao OPF.
Observou-se que a gesto da segurana da informao nesta organizao
uma questo ainda inicial, visto que os controles existentes so balizados por aes
pontuais e, em sua maioria, reativas, visto a falta de itens como uma poltica de
segurana da informao, poltica continuidade de negcios, gerenciamento de
riscos, gerenciamento de incidentes etc, que so fatores fundamentais a esse
processo.
pertinente que seja lanado, sobre a governana de segurana da
informao, maior ateno, visto que por meio desta que alinha-se a gesto de
segurana da informao a ser implementada aos negcios, misso e aos
objetivos da organizao.
Uma governana efetiva, alm de refletir o apoio da alta administrao
segurana da informao e prov recursos para esta questo, auxilia na
conscientizao dos stakeholders quanto importncia da segurana da informao
74
Instrumento de Pesquisa
Respondente 1
J atuou como: Fiscal tcnico do contrato e integrante tcnico da equipe de
planejamento de contratao.
Contrataes de Solues de TI
1. Como est estabelecido o processo de contrataes de solues de TI
no mbito da ORGANIZAO OPF? Ele se d de forma gerenciada e
repetvel ou ad hoc? Ele atende aos requisitos de compliance (tais
como as instrues normativas da SLTI/MPOG) aos quais est sujeito?
a. Como est estabelecido o processo de contrataes de solues de TI
no mbito da ORGANIZAO OPF?
i. O processo ainda incipiente diante de tais argumentos:
1. No h envolvimento do integrante administrativo quando
da emisso do Documento de Oficializao da Demanda,
como pode ser verificado nos seguintes processos de
contratao de 2010-2011:
a. Modernizao da infraestrutura de TIC;
b. Aquisio de soluo de ECM/SIGAD;
c. Aquisio de software para o portal da Organizao
OPF;
2. Os investimentos em TI so unicamente direcionados pela
rea de TI;
3. No existe um inventrio de necessidades de TI
(processos, pessoas, recursos e sistemas) que alinhe s
necessidades da rea-meio com os investimentos em TI.
Respondente 2
J atuou como: Fiscal tcnico, demandante e administrativo de contrato, como
integrante tcnico da equipe de planejamento de contratao e como gestor de
contrato.
Contrataes de Solues de TI
1. Como est estabelecido o processo de contrataes de solues de TI
no mbito da ORGANIZAO OPF? Ele se d de forma gerenciada e
repetvel ou ad hoc? Ele atende aos requisitos de compliance (tais
como as instrues normativas da SLTI/MPOG) aos quais est sujeito?
As novas contrataes esto aderentes ao disposto nas instrues
Normativas Ns 04 e 02 do MPOG.
Segurana da Informao
6. A segurana da informao vista como questo crtica pela alta
administrao? Existe um programa de conscientizao organizacional
acerca deste assunto? Existe uma poltica de segurana da informao e
comunicaes instituda na organizao?
No
Respondente 3
J atuou como: integrante tcnico.
Contrataes de Solues de TI
1. Como est estabelecido o processo de contrataes de solues de TI
no mbito da ORGANIZAO OPF? Ele se d de forma gerenciada e
repetvel ou ad hoc? Ele atende aos requisitos de compliance (tais
como as instrues normativas da SLTI/MPOG) aos quais est sujeito?
Bom, h um processo definido pelo MPOG que idealmente deveramos
seguir. Mas na prtica, a meu ver, acabamos sendo mais orientados pelos
templates, que cada um preenche da forma que for mais conveniente.
Eventualmente, para tpicos mais problemticos, podemos utilizar o processo
do MPOG como referncia. Para mim, nosso processo est mais para ad
hoc... Quanto aos requisitos de compliance, o processo necessariamente
89
Segurana da Informao
6. A segurana da informao vista como questo crtica pela alta
administrao? Existe um programa de conscientizao organizacional
acerca deste assunto? Existe uma poltica de segurana da informao e
comunicaes instituda na organizao?
No, no e no. H um tempo atrs se falava dessa poltica de segurana,
mas ultimamente no tenho ouvido falar muito dela, sinal que no deve estar
to instituda assim...
90
Respondente 4
J atuou como: integrante tcnico, integrante administrativo, fiscal tcnico e fiscal
administrativo.
Contrataes de Solues de TI
1. Como est estabelecido o processo de contrataes de solues de TI
no mbito da ORGANIZAO OPF? Ele se d de forma gerenciada e
repetvel ou ad hoc? Ele atende aos requisitos de compliance (tais
como as instrues normativas da SLTI/MPOG) aos quais est sujeito?
Ele est estabelecido com base no modelo de contrataes proposto pela
SLTI/MPOG. Porm vejo que embora existam templates com explicaes e
exemplos para elaborao, faz-se necessrio um processo definido que
institucionalize quais as prticas e procedimentos a serem adotados. Os
requisitos de compliance so atendidos, mais os planos de sustentao e a
anlise de riscos ainda so muito incipientes e superficiais, cumprindo o que
normatizado, mas falhando em sua efetividade.
Segurana da Informao
6. A segurana da informao vista como questo crtica pela alta
administrao? Existe um programa de conscientizao organizacional
acerca deste assunto? Existe uma poltica de segurana da informao e
comunicaes instituda na organizao?
No
No
No
Respondente 5
J atuou como: integrante requisitante, fiscal tcnico e fiscal administrativo.
Contrataes de Solues de TI
1. Como est estabelecido o processo de contrataes de solues de TI
no mbito da ORGANIZAO OPF? Ele se d de forma gerenciada e
repetvel ou ad hoc? Ele atende aos requisitos de compliance (tais
como as instrues normativas da SLTI/MPOG) aos quais est sujeito?
Na Organizao OPF so adotados os procedimentos previstos na IN 04, da
SLTI/MPOG. Foi elaborado um modelo de contratao prprio para a
organizao, com base nesta norma. Atende, pois, aos requisitos da IN04.
Segurana da Informao
6. A segurana da informao vista como questo crtica pela alta
administrao? Existe um programa de conscientizao organizacional
acerca deste assunto? Existe uma poltica de segurana da informao e
comunicaes instituda na organizao?
No
No
No
Respondente 6
J atuou como: integrante administrativo e pregoeiro.
Contrataes de Solues de TI
1. Como est estabelecido o processo de contrataes de solues de TI
no mbito da ORGANIZAO OPF? Ele se d de forma gerenciada e
repetvel ou ad hoc? Ele atende aos requisitos de compliance (tais
como as instrues normativas da SLTI/MPOG) aos quais est sujeito?
As contrataes de TI ocorrem conforme estabelecido pela SLTI/MPOG.
H contrataes que ocorrem de forma repetvel (as de custeio, por exemplo)
e otras conforme demanda, mormente investimento.
A rea requisitante em consenso com a rea tcnica tendem a seguir as
orientaes da SLTI.
97
Segurana da Informao
6. A segurana da informao vista como questo crtica pela alta
administrao? Existe um programa de conscientizao organizacional
acerca deste assunto? Existe uma poltica de segurana da informao e
comunicaes instituda na organizao?
No sei informar, creio que a ADGI pode responder melhor.
Respondente 7
J atuou como: integrante tcnico, fiscal tcnico e fiscal administratvo.
Contrataes de Solues de TI
99
Segurana da Informao
6. A segurana da informao vista como questo crtica pela alta
administrao? Existe um programa de conscientizao organizacional
acerca deste assunto? Existe uma poltica de segurana da informao e
comunicaes instituda na organizao?
A SI no vista como questo crtica nem existe programa de
conscientizao. A confeco da PSI vem se arrastando h meses, e a
minuta existente ocorreu inclusive sem a participao da maioria dos
servidores da rea de TI.
Respondente 8
J atuou como: integrante tcnico, fiscal tcnico e fiscal administratvo.
Contrataes de Solues de TI
1. Como est estabelecido o processo de contrataes de solues de TI
no mbito da ORGANIZAO OPF? Ele se d de forma gerenciada e
repetvel ou ad hoc? Ele atende aos requisitos de compliance (tais
como as instrues normativas da SLTI/MPOG) aos quais est sujeito?
Ad hoc e atende aos requisitos de compliance.
Segurana da Informao
6. A segurana da informao vista como questo crtica pela alta
administrao? Existe um programa de conscientizao organizacional
acerca deste assunto? Existe uma poltica de segurana da informao e
comunicaes instituda na organizao?
102
Respondente 9
J atuou como:, fiscal tcnico e fiscal administrativo.
Contrataes de Solues de TI
1. Como est estabelecido o processo de contrataes de solues de TI
no mbito da ORGANIZAO OPF? Ele se d de forma gerenciada e
repetvel ou ad hoc? Ele atende aos requisitos de compliance (tais
como as instrues normativas da SLTI/MPOG) aos quais est sujeito?
D-se de forma ad hoc.
Atende em parte aos requisitos da IN04
Segurana da Informao
6. A segurana da informao vista como questo crtica pela alta
administrao? Existe um programa de conscientizao organizacional
acerca deste assunto? Existe uma poltica de segurana da informao e
comunicaes instituda na organizao?
No, a segurana e vista como crtica pela equipe operacional.
104
Respondente 10
J atuou como:, fiscal tcnico e fiscal administrativo.
Contrataes de Solues de TI
1. Como est estabelecido o processo de contrataes de solues de TI
no mbito da ORGANIZAO OPF? Ele se d de forma gerenciada e
repetvel ou ad hoc? Ele atende aos requisitos de compliance (tais
como as instrues normativas da SLTI/MPOG) aos quais est sujeito?
O processo de contratao est totalmente alinhado com a IN04/2010
Segurana da Informao
6. A segurana da informao vista como questo crtica pela alta
administrao? Existe um programa de conscientizao organizacional
acerca deste assunto? Existe uma poltica de segurana da informao e
comunicaes instituda na organizao?
No vista como crtica. No existe programa de conscientizao. Os
colaboradores adotam aes e atitudes que expes a segurana da
informao no mbito da Organizao OPF. No existe poltica de segurana
na Organizao OPF e caso exista no foi divulgada entre os colaboradores.
Respondente 11
J atuou como: gestor de contrato e integrante requisitante.
Contrataes de Solues de TI
1. Como est estabelecido o processo de contrataes de solues de TI
no mbito da ORGANIZAO OPF? Ele se d de forma gerenciada e
repetvel ou ad hoc? Ele atende aos requisitos de compliance (tais
como as instrues normativas da SLTI/MPOG) aos quais est sujeito?
Est estabelecido de forma gerenciada e repetvel, em linha com as previses
da IN-04. Com a atualizao da norma em 2010, o processo foi atualizado
para atender os requisitos de compliance das orientaes supervenientes.
Respondente 12
J atuou como: integrante tcnico, fiscal tcnico e fiscal administrativo.
110
Contrataes de Solues de TI
1. Como est estabelecido o processo de contrataes de solues de TI
no mbito da ORGANIZAO OPF? Ele se d de forma gerenciada e
repetvel ou ad hoc? Ele atende aos requisitos de compliance (tais
como as instrues normativas da SLTI/MPOG) aos quais est sujeito?
Seguindo a instruo normativa 04. Gerenciada e repetvel. Sim.
Segurana da Informao
6. A segurana da informao vista como questo crtica pela alta
administrao? Existe um programa de conscientizao organizacional
acerca deste assunto? Existe uma poltica de segurana da informao e
comunicaes instituda na organizao?
No. No. No.
Contrataes de Solues de TI
1. Como est estabelecido o processo de contrataes de solues de TI
no mbito da ORGANIZAO OPF? Ele se d de forma gerenciada e
repetvel ou ad hoc? Ele atende aos requisitos de compliance (tais
como as instrues normativas da SLTI/MPOG) aos quais est sujeito?
Ad hoc. Sim, ele atende a requisitos de compliance.
.
2. Como so vistas ascontrataes de solues de TI na ORGANIZAO
OPF? H compreenso, dentro da organizao, da influncia destas no
cumprimento de sua misso?
As contrataes so feitas objetivando resoluo de problemas existentes,
sendo que algumas acabam no refletindo a misso da organizao. Outro
fator relevante o desconhecimento da misso da Organizao por parte de
usurios e membros da TI.
Segurana da Informao
6. A segurana da informao vista como questo crtica pela alta
administrao? Existe um programa de conscientizao organizacional
acerca deste assunto? Existe uma poltica de segurana da informao e
comunicaes instituda na organizao?
Acredito que a alta administrao tenha a percepo da importncia da
segurana da informao, porm a falta de priorizao evidencia o
desconhecimento quanto ao tema, dificultando a realizao de trabalho de
conscientizao, e dificultando o estabelecimento de poltica de segurana da
informao.