Instituto de Cincias Exatas

Departamento de Cincia da Computao

Curso de Especializao em Gesto da Segurana da Informao e
Comunicaes

DER SOUZA GUALBERTO

Contrataes de Solues de TI:

Uma anlise sob a tica da segurana da informao

Braslia
2011
 der Souza Gualberto

Contrataes de Solues de TI:

Uma anlise sob a tica da segurana da informao

Braslia
2011
der Souza Gualberto
3

Contrataes de Solues de TI:

Uma anlise sob a tica da segurana da informao

Monografia apresentada ao Departamento

de Cincia da Computao da
Universidade de Braslia como requisito
parcial para a obteno do ttulo de
Especialista em Cincia da Computao:
Gesto da Segurana da Informao e
Comunicaes.

Orientador: Prof. Dr Roberto Wagner da Silva Rodrigues

Universidade de Braslia
Instituto de Cincias Exatas
Departamento de Cincia da Computao

Braslia
Novembro de 2011
4

Desenvolvido em atendimento ao plano de trabalho do Programa de Formao de

Especialistas para a Elaborao da Metodologia Brasileira de Gesto da Segurana
da Informao e Comunicaes - CEGSIC 2009/2011.
2011 der Souza Gualberto. Qualquer parte desta publicao pode ser
reproduzida, desde que citada a fonte.

Gualberto, der Souza

Contrataes de Solues de TI: Uma anlise sob a tica da segurana da
informao / der Souza Gualberto. Braslia: O autor, 2011. 119 p.; Ilustrado; 25
cm.
Monografia (especializao) Universidade de Braslia. Instituto de Cincias
Exatas. Departamento de Cincia da Computao, 2011.
Inclui Bibliografia.
1. Contrataes de Solues de TI 2. Segurana da Informao. 3.
Organizaes Pblicas. I. Ttulo.
CDU 004.056
6

Dedicatria

Ao meu Deus:
Pelo dom da vida e por todas maravilhosas oportunidades que me foram dadas;

Aos meus pais:

Paulo e J, que me mostram a cada dia que so os meus mais dedicados
professores.

Ao meu irmo:
dison, meu grande amigo, por todo apoio e camaradagem sempre presentes.

Ao grande amor da minha vida:

Fernanda, meu porto seguro tanto nos momentos difceis quanto nos momentos de
felicidade, que foi quem me avisou e incentivou a participar do CEGSIC 2009/2011.

Aos amigos:
Em especial ao Jurami, Emlio e Fernando, que acompanharam esta caminhada e
que fizeram dela algo mais prazeroso.
7

Agradecimentos

Agradeo ao professor Jorge Fernandes que me apresentou ao tema de

segurana da informao, que foi meu orientador nas minhas duas graduaes e
que contribuiu sobremaneira neste curso de especializao e na minha formao
como um todo.
Agradeo ao professor Roberto Wagner pelas importantes orientaes ao
longo desde trabalho.
Agradeo aos amigos e colegas: Gabriel, Cesar, Fuji, Diego, Douglas,
Rodrigo, Gustavo, Patrick, Leandro e Adriano, pelas importantes contribuies no
decurso desta especializao e deste trabalho.
Agradeo aos colaboradores da organizao OPF que colaboraram com a
pesquisa, tanto por meio de discusses como respondendo aos questionrios de
entrevistas.
.
8

No importa onde,
no h uma nica pessoa que no seja capaz de fazer
mais do que pensa que pode.

Henry Ford.
9

Lista de Figuras

Figura 1: Modelo PDCA aplicado aos processos do SGSI (fonte: ABNT, 2006).......32

Figura 2: planejamento para disseminar a cultura de segurana da informao no

mbito da APF. (fonte: GSI, 2008) ............................................................................41

Figura 3: Planejamento da Contratao de Soluo de TI. (fonte: SLTI, 2011) .......51

Figura 4: Seleo do Fornecedor de Solues de TI. (fonte: SLTI, 2011).................52
Figura 5: Gesto do Contrato de Soluo de TI. (fonte: SLTI, 2011).........................53
Figura 6: Estrutura Organizacional das Superintendncias.......................................56
10

Sumrio

Ata de Defesa de Monografia ...................................................................................... 5

Dedicatria .................................................................................................................. 6

Agradecimentos .......................................................................................................... 7

Lista de Figuras ........................................................................................................... 9

Sumrio ..................................................................................................................... 10

Resumo ..................................................................................................................... 12

Abstract ..................................................................................................................... 13

1 Delimitao do Problema ....................................................................................... 14

1.1 Introduo ........................................................................................................ 14

1.2 Problemtica .................................................................................................... 15

1.3 Objetivos e escopo .......................................................................................... 16

1.4 Metodologia ..................................................................................................... 17

1.5 Justificativa ...................................................................................................... 18

1.6 Hipteses ......................................................................................................... 18

1.7 Organizao deste trabalho ............................................................................. 19

2 Conceitos bsicos de Gesto de Segurana da Informao .................................. 21

2.1 Governana Corporativa, Sistemas de Informao, Tecnologia da Informao

(TI) e Governana de TI......................................................................................... 21

2.2 Princpios da Segurana da Informao .......................................................... 24

2.3 Gesto da Segurana da Informao .............................................................. 25

11

2.4 Segurana da Informao na Administrao Publica Federal (APF) ............... 37

3 Contrataes de Solues de TI ............................................................................ 41

3.1 Licitaes e Contratos Administrativos ............................................................ 41

3.2 Aquisio de bens e servios comuns ............................................................. 43

3.3 Contratao de Servios.................................................................................. 44

3.4 Licitaes e contratos de TI ............................................................................. 46

4 Resultados ............................................................................................................. 53

4.1 A Organizao OPF ......................................................................................... 53

4.2 A Segurana da Informao na Organizao OPF.......................................... 56

4.3 Contrataes de Solues de TI da Organizao OPF ................................... 57

4.4 A segurana da informao nas Contrataes de Solues de TI no mbito da

Organizao OPF .................................................................................................. 62

5 Anlise dos dados .................................................................................................. 63

5.1 Consideraes a cerca da segurana da informao e das contrataes de

solues de TI no mbito da Organizao OPF .................................................... 63

5.2 Comentrios Finais .......................................................................................... 72

6 Concluses e Trabalhos Futuros............................................................................ 73

6.1 Concluses ...................................................................................................... 73

6.2 Trabalhos Futuros ............................................................................................ 75

Referncias e Fontes Consultadas ........................................................................... 76

Apndice A Questionrios Aplicados e Respostas................................................. 81

Apndice B Objetivos de controle mais relevantes relacionados s contrataes de

solues de TI e da segurana da informao. ....................................................... 115

Anexo A Principais Normativos relacionados segurana da informao aplicados

APF ...................................................................................................................... 117
12

Resumo

A proposta deste trabalho foi verificar o tratamento dado por uma organizao
questo da segurana da informao quando das suas contrataes de solues de
TI. Para isso foram pesquisados os principais conceitos e teorias a cerca dos
tpicos: segurana da informao e contrataes de solues de TI na
administrao pblica federal. Como metodologia para pesquisa foi utilizada a
tcnica de estudo de caso. Foram colhidos dados e informaes a cerca dos tpicos
citados acima, que permitiram traar o cenrio da organizao relativo segurana
da informao e relativo ao processo de contratao de solues de TI. Diante do
contexto observado, foi possvel verificar a problemtica a que este trabalho se
props responder. De forma geral, observou-se que a questo da segurana da
informao na organizao estudada ainda inicial, e que, de forma especfica, no
mbito das contrataes de solues de TI, a no-preocupao com requisitos
relativos a esta questo reflexo deste cenrio geral.
13

Abstract

The purpose of this work was check the treatment that an organization gives to the
information security question on yours IT solutions procurement. To this endeavor,
the main concepts and theories about the following topics were studied: information
security and IT solutions procurement in the federal public administration. Case study
technique was the methodology chosen to this research. Overall, it was observed
that the issue of information security in the organization is still incipient, and,
specifically, within the IT solutions procurement, the non-concern with requirements
on this issue reflects this scenario.
14

1 Delimitao do Problema

1.1 Introduo

As contrataes de solues de Tecnologia da Informao (TI) no mbito da

Administrao Pblica Federal (APF) tm sido um assunto bastante discutido
atualmente, principalmente devido s atuaes de rgos como o Tribunal de
Contas da Unio (TCU) e a Controladoria-Geral da Unio (CGU) que tm tentado
disciplinar esta questo e pacificar entendimentos relacionados. Recomendaes e
legislaes que tentam reger este tipo de processo, alm de uma srie de normas,
modelos e padres que indicam as melhores prticas para este tipo de contratao
compem o complexo arcabouo dos itens que devem ser levados em conta quando
das licitaes de servios e recursos de TI.
Conforme exposto em Cruz et al (2011), as atividades de planejamento so
determinantes para que as contrataes externas, principalmente as de TI, sejam
bem-sucedidas e traduzam-se em contratos efetivos que atendam s demandas de
seus solicitantes.
Neste sentido, crtico levar-se em conta, no planejamento de contrataes
de solues de TI, as questes relativas segurana da informao. A norma 27002
(ABNT, 2005), por exemplo, especifica que: as responsabilidades pela segurana
da informao sejam atribudas antes da contratao, de forma adequada, nas
descries de cargos e nos termos e condies de contratao, visto que assim,
permite-se guiar, por meios contratuais, as relaes com terceiros inerentes s
contrataes de servios de TI e garantir que a poltica de segurana da informao
em prtica na organizao seja seguida.
15

Garantir a segurana da informao, em linhas gerais, refere-se a proteger as

propriedades da informao e dos seus ativos1 de suporte, tais como: integridade,
disponibilidade, autenticidade, confidencialidade etc, evitando que ameaas,
presentes no contexto destes ativos explorem vulnerabilidades associadas a esses.
A segurana da informao vai alm de questes inerentemente relacionadas
TI e, para garantir que esta segurana seja mantida, faz-se necessrio um
gerenciamento acerca desta questo, de forma a garantir que ela seja considerada
em todos os processos da organizao. Observa-se a a criticidade de se
estabelecer requisitos de segurana da informao tambm para as contrataes de
solues de TI, visto que estes faro parte dos parmetros, estabelecidos via
contratos, para as relaes de negcio entre o provedor e a contratante da soluo.
Alm disso, os objetos das contrataes de solues de TI esto normalmente
relacionados a informaes e ativos de suporte da organizao contratante, e esses,
como potenciais alvos de ataques, devem ter sua utilizao e acesso planejados.

1.2 Problemtica

Considerando os apontamentos da importncia de se planejar as questes

relacionadas segurana da informao quando deste tipo de contratao, adotou-
se como questo central:
Como uma organizao trata a segurana da informao em suas
contrataes de solues de TI?
E como questes de suporte:
Quais so as indicaes/recomendaes existentes para contratao
dos servios de TI no mbito da APF?
Qual o contexto desta organizao?
Qual o tratamento que a organizao d segurana da informao e
sua gesto?
Como est estabelecido o processo de contratao de solues de TI
na organizao?

1
Qualquer coisa que tenha valor para a organizao. (ABNT,2005)
16

1.3 Objetivos e escopo

1.3.1 Objetivo Geral

Analisar uma organizao quanto ao estabelecimento de controles que

preservem a segurana da informao em suas contrataes de solues de TI.
.

1.3.2 Objetivos Especficos

-Elencar os conceitos e teorias a respeito do outsourcing de TI, bem como

identificar e relacionar as principais normas, legislaes e procedimentos aplicados a
Administrao Pblica Federal no que tange segurana da informao.
-Apresentar as caractersticas das principais normas da famlia ISO 27000 e
das recomendaes quanto s contrataes de solues de TI pelos rgos e
entidades da APF, principalmente ao que disciplinado pela IN 04 da SLTI/MPOG.
-Elaborar estudo de caso em uma organizao pblica federal, analisando se
o seu processo de contratao de solues de TI engloba as questes e
detalhamentos de segurana da informao necessrios.
-Identificar os controles implementados no que tange segurana da
informao nos contratos de TI, apresentando ainda os principais fatores que
dificultam a adoo das melhores prticas nessas contrataes.

1.3.3 Escopo

A organizao foco desta pesquisa ser uma autarquia de regime especial

que tem como misso a regulao de um setor especfico de mercado. Para fins de
confidencialidade das informaes desta organizao, a mesma ser referenciada
ao longo deste trabalho como Organizao OPF.
17

1.4 Metodologia
Este estudo de caso teve como objetivo observar e descrever a questo da
segurana da informao nos processos de contrataes de solues de TI (assim
como nos contratos resultantes) no mbito da Organizao OPF. O estudo de caso
desta pesquisa, embora se atenha a descrever alguns detalhes do fenmeno
pesquisado, foi de natureza exploratria, com vistas a identificar a situao atual da
segurana da informao na autarquia. Baseou-se em uma abordagem qualitativa,
utilizando como tcnicas e mtodos de pesquisa, os seguintes:

1.4.1 Observao Direta

Observaram-se as contrataes de solues de TI, o processo relacionado,
assim como a padronizao deste, foram observados tambm os controles de
segurana existentes, suas aplicaes e sua eficcia; assim como as relaes com
fornecedores e terceiros etc. Estes elementos foram observados ao longo do
perodo de janeiro a agosto de 2011.

1.4.2 Anlise documental

Foram analisados: a lei de criao da organizao e as leis relacionadas ao
setor que esta regula que lhe dizem respeito, o regimento interno, os documentos
produzidos pelas ltimas contrataes de solues de TI (termos de referncia,
editais, anlises de viabilidade, planos de sustentao, anlise de riscos etc), os
documentos relacionados gesto dos contratos, os documentos relacionados aos
procedimentos operacionais de segurana da informao e ativos de tecnologia da
informao, alm da prvia da poltica de segurana da informao que at o
presente momento no foi publicada. Para um estudo mais aprofundado, foram
escolhidos ainda dois contratos em especfico: o contrato 024/2008, que foi formado
antes da IN 04/2008 da SLTI/MPOG, e o contrato 002/2011, que foi firmado de
acordo com esta instruo normativa.

1.4.3 Entrevistas
Por meio dos questionrios que se encontram no apndice deste trabalho,
foram realizadas entrevistas, nos meses de maio, junho e julho deste ano, com os
18

responsveis pelas aes e decises relacionadas s contrataes de solues de

TI e segurana da informao. Estes questionrios tiveram como objetivo principal
coletar dados acerca de como a questo da segurana da informao tratada no
mbito dos contratos de solues de TI da Organizao OPF.
As entrevistas foram realizadas com os servidores que trabalham no processo
de contrataes de solues de TI, que j assumiram vrios papis em vrias
licitaes, tais como: fiscal tcnico, fiscal administrativo, integrante requisitante,
integrante tcnico, pregoeiro e gestor de contrato.

1.5 Justificativa

Dada a importncia da informao para as organizaes e a decorrente

necessidade de garantir a segurana deste ativo, caracteriza-se como fator crtico de
sucesso que organizaes tambm gerenciem a segurana de suas informaes
nas suas relaes com terceiros, como o caso dos contratos.
Como exposto em GSIPR (2008), as organizaes pblicas, como
fornecedoras de servios aos cidados, devem prezar pela segurana das
informaes sob sua responsabilidade, visto que estas caracterizam-se como ativos
valiosos para a eficiente prestao desses servios.
Assim, a justificativa para este trabalho manifesta-se na importncia e
criticidade de se considerar a questo da segurana da informao nas contrataes
de solues de TI nos rgos e entidades da APF.

1.6 Hipteses

Espera-se encontrar nos contratos utilizados no estudo de caso, clusulas

que reflitam os requisitos de segurana da informao em prtica na organizao
estudada e que estes requisitos sejam fruto de um processo de contratao
condizente com as legislaes pertinentes e com as principais recomendaes
relativas s contrataes de solues de TI.
19

1.7 Organizao deste trabalho

Captulo 1:
apresentada a motivao para a realizao deste trabalho, explicitando a
importncia de gerir a segurana da informao nas contrataes de solues de TI
celebradas entre a Administrao Pblica e terceiros. So traados o objetivo geral e
os objetivos especficos deste trabalho, assim como a metodologia, sua justificativa
e hipteses.

Captulo 2:
Elencam-se os princpios e conceitos relacionados segurana da
informao e sua gesto, alm do contexto deste domnio de conhecimento relativo
Administrao Pblica Federal, explicitando as leis e diretrizes aplicveis, alm
das medidas e aes tomadas quanto a este tema.

Captulo 3:
Discutem-se as contrataes de solues de TI no mbito da APF, e assim
como no captulo 2 explicitam-se as principais leis e diretrizes aplicveis.

Captulo 4:
So apresentados os resultados obtidos no estudo de caso realizado na
Organizao OPF: suas caractersticas e contexto, seus requisitos de conformidade,
a situao da segurana da informao na organizao, assim como o processo de
contratao de solues de TI em vigor e o tratamento dado segurana da
informao nos contratos celebrados por esta autarquia.

Captulo 5:
So analisados os resultados obtidos no estudo de caso, discutindo o cenrio
encontrado e explicitando as principais deficincias no tratamento da segurana da
informao no mbito das contrataes de solues de TI. Estas consideraes so
feitas com base nas melhores prticas, normas e legislaes relacionadas descritas
no captulo 2.
20

Captulo 6:
Neste captulo, so apresentadas as principais concluses deste
trabalho.
21

2 Conceitos bsicos de Gesto de

Segurana da Informao

Neste captulo, so discutidos os principais tpicos relacionados segurana

da informao e a sua gesto, e s aes e prticas especficas adotadas pela
Administrao Pblica Federal.

2.1 Governana Corporativa, Sistemas de Informao, Tecnologia

da Informao (TI) e Governana de TI

Conforme indicado em IBGC (2011), Lameira (2001) e em CVM (2002),

governana corporativa diz respeito a um processo que otimiza os negcios e lucros
da organizao, alm de garantir a preservao dos direitos de todos aqueles que
nela tem interesse (stakeholders).
A governana corporativa tem como princpios, de acordo com o Cdigo de
Melhores Prticas de Governana Corporativa, IBGC (2010): a transparncia, a
equidade, a prestao de contas e a responsabilidade corporativa. Estes princpios
devem existir conjuntamente e mutuamente relacionarem-se.
De acordo com Fernandes (2010), o conceito de informao pode ser definido
sob duas perspectivas: como estrutura, pode ser conceituada como um conjunto de
dados ou registros representados em uma determinada forma/ordem que lhes
permitem ser entendidos; e como processo, a informao pode ser entendida como
o resultado da interao entre agentes capazes de interpretar e decidir. No
obstante, a informao caracteriza-se como um ativo com grande importncia para
as organizaes, visto que a mesma ajuda, e por vezes determina, a tomada de
22

decises, a coordenao e o controle que se tem da organizao e de seus

negcios.
Para coletar, recuperar, processar, armazenar e distribuir essas informaes,
utiliza-se um conjunto de componentes inter-relacionados ao qual denominamos
sistema de informao, como observado em Rezende (2005) e Shitsuka (2005).
Conforme indica Laudon & Laudon (2004), sistema de informao uma soluo
organizacional e administrativa, que utiliza ferramentas automatizadas e manuais, a
fim de administrar situaes advindas das atividades da organizao. Pode-se notar
que os sistemas de informao, na verdade, so partes integrantes das
organizaes e, para uma utilizao efetiva dos mesmos, faz-se necessrio um
entendimento aprofundado da organizao e de sua administrao.
Por sua vez, a tecnologia da informao corresponde combinao entre o
conjunto de recursos de processamento (hardware, software, redes, etc.), as
pessoas, as comunicaes e os frameworks; objetivando a criao, a manuteno, a
utilizao e a recuperao da informao, conforme indicado em Laudon & Laudon
(2004). Pode-se afirmar que as tecnologias da informao so ferramentas dos
sistemas de informao e que em parte possibilitam a sua existncia. Logo, a TI
funciona em prol dos sistemas de informao, ajudando-os a fazer com que a
organizao desempenhe suas funes e administre seus negcios.
Atualmente uma tarefa complicada dissociar uma empresa de seus
sistemas de informao, e consequentemente da tecnologia da informao que a
suporta e da qual ela depende. Estabelecer e manter a estrutura de tecnologia da
informao de uma organizao envolve grande aplicao de capital. Esse
investimento, quando no planejado, pode no produzir o retorno esperado. Logo,
preciso definir uma estrutura por meio da qual seja possvel o gerenciamento e o
controle da rea de TI, objetivando garantir o retorno dos investimentos feitos nesta
rea e agregar melhorias aos processos de negcios da organizao.
O conceito de governana de TI vem ao encontro disso. De acordo com Weil
& Ross (2005) e ITGI (2007), governana de TI o termo utilizado para designar as
estruturas e processos que buscam maximizar o valor dos objetivos e estratgias da
organizao por meio do alinhamento da tecnologia de informao aos interesses da
organizao. Como afirmado em Fernandes e Abreu (2006):
A Governana de TI busca o compartilhamento de decises de TI com os
demais dirigentes da organizao, assim como estabelece as regras, a
23

organizao e os processos que nortearo o uso da tecnologia da

informao pelos usurios, departamentos, divises, negcios da
organizao, fornecedores e clientes, determinando como a TI deve prover
os servios para a empresa.

2.1.1 Control Objectives for Information and Related Technology (COBIT)

Conforme indicado em ITGI (2007) e em Rodrigues (2010), o COBIT um

modelo que auxilia a organizao a identificar e elencar os objetivos estratgicos de
negcio e relacion-los com os processos, projetos e metas da rea de TI. Ou seja,
auxilia na promoo da governana de TI, na medida que permite, por meio do
atendimento aos objetivos de controle por ele propostos, sistematizar e priorizar as
decises de TI segundo s necessidades do negcio da organizao (ou seja,
segundo o seu corebusiness). Os Objetivos de controle so distribudos em 4
domnios: Planejar e Organizar (PO), Adquirir e Implementar (AI), Entregar e
Suportar (DS) e Monitorar e Avaliar (ME).-
No contexto das contrataes de solues de TI e da segurana da
informao, os objetivos de controle mais relevantes so, os indicados no apndice
B.

2.1.2 Tecnologia da Informao e Segurana da Informao

Embora a segurana da informao, como j afirmado, no seja uma questo

que se restrinja somente rea de TI, muito de suas atenes e medidas so
direcionadas para tal, haja visto que a TI proporciona tanto tratamentos para riscos
de segurana da informao como tambm vulnerabilidades que podem vir a ser
exploradas. Assim fundamental que existam controles especficos voltados para a
rea de TI.
Para tratar e especificar tcnicas de gesto de segurana das Tecnologias da
Informao foi criada a norma ISO/IEC 13335, ISO (2004). Esta norma define os
termos e discute acerca dos modelos de gerenciamento de segurana das
tecnologias da informao. Uma nova verso desta norma est sendo elaborada
24

com vistas a atualiz-la e estabelecer tambm tcnicas para gerenciamento de

riscos de segurana das tecnologias da informao.

2.2 Princpios da Segurana da Informao

Independente da sua forma: textual, digital, oral etc; a informao, enquanto

ativo, cada vez mais, tem ficado sujeita a ameaas tais como: fraudes eletrnicas,
espionagem, sabotagem etc, que podem explorar suas vulnerabilidades. Caso esta
explorao acontea, potenciais conseqncias podem ocorrer e impactar nos
objetivos da organizao positiva ou negativamente.
Considerando a criticidade em torno da informao, as organizaes
implementam conjuntos variados de controles para proteg-la, incluindo: polticas,
processos, procedimentos etc; com o intuito de alcanar os objetivos de negcio e
de segurana dessa informao. Obtm-se a, o que denominamos segurana da
informao, que a proteo da informao contra vrios tipos de ameaas,
objetivando a continuidade dos negcios, minimizando os riscos, maximizando os
lucros e as suas oportunidades, conforme indicado em ABNT (2005).
A segurana da informao tem o intuito de preservar as caractersticas da
informao no que concerne em sua disponibilidade, confidencialidade e integridade,
alm de aspectos como autenticidade e legalidade, que so descritos a seguir:
Disponibilidade: propriedade que a informao apresenta, de estar disponvel e
utilizvel numa eventual requisio de uma entidade autorizada (ABNT,2006).
Integridade: propriedade que a informao apresenta, de estar completa e fiel ao
estado original (ABNT, 2006).
Confidencialidade: propriedade que a informao apresenta, de estar disponvel
apenas para queles que esto autorizados a obt-la (ABNT, 2006).
Autenticidade: aspecto comprovante de que a informao foi produzida, expedida,
modificada ou destruda por uma determinada pessoa fsica, ou por um determinado
sistema, rgo ou entidade (GSIPR, 2008).
Legalidade: aspecto comprovante do valor legal (onde todos os ativos relacionados
esto de acordo com os requisitos de conformidade) que uma informao pode ter
em um processo de comunicao, foi produzida, expedida, modificada ou destruda
25

por uma determinada pessoa fsica, ou por um determinado sistema, rgo ou

entidade (SEMOLA, 2003).
Em Semola (2003) expressa-se que a informao deve ser protegida ao longo
de todo o seu ciclo de vida, pois quando este ativo ou os ativos que a utilizam e a
suportam (ativos de TI, ativos fsicos e ativos humanos) ficam expostos riscos. O
ciclo de vida da informao dividido em 4 momentos: manuseio (criao e
manipulao da informao), armazenamento, transporte e descarte.
A preservao das propriedades e dos aspectos da informao anteriormente
mencionados depende do estabelecimento de uma ao gerencial explcita, que
chamada de gesto da segurana da informao (GSI).

2.3 Gesto da Segurana da Informao

Como observado, a segurana da informao diz respeito proteo da

informao em suas propriedades (confidencialidade, integridade e disponibilidade)
e em seus aspectos (autenticidade, legalidade etc), evitando que as vulnerabilidades
dos ativos relacionados sejam exploradas por ameaas e possam trazer
consequncias para os negcios de uma organizao. Porm para a efetividade das
aes de segurana da informao necessrio mais que medidas estritamente
tcnicas, pois esta questo em mbitos organizacionais, conforme explicado em
Diniz & Diniz (2009), envolve tambm caractersticas denominadas soft, tais como
caractersticas humanas, organizacionais e estratgicas. sobre estas
caractersticas relativas segurana da informao que a gesto de segurana da
informao (GSI) se concentra, pois ao controlar e gerenciar tais pontos
potencializa-se a promoo da cultura de segurana da informao, tornando-a uma
prtica sistmica.
A GSI tem como objetivo principal fazer com que as aes e decises
relativas segurana da informao estejam alinhadas aos objetivos e estratgias
do negcio da organizao.
Considerando a importncia de se gerenciar a segurana da informao e as
melhores prticas adotadas at ento, a International Standardization Organization
(ISO) publicou a famlia de normas 27000 que tem como objetivo cobrir as
26

necessidades das organizaes no que tange segurana da informao. Conforme

exposto em (ISO, 2009):
A norma 27000 apresenta uma viso global tanto do sistema de gesto de
segurana da informao (SGSI) proposto por esta famlia de normas quanto
da famlia de normas em si (descrevendo o escopo de cada uma delas);
A norma 27001 concentra os requisitos necessrios para implementar e
manter um SGSI, sendo aplicvel a qualquer organizao, independente da
especificidade do seu negcio;
J a norma 27002 prope um cdigo de prtica para a gesto de segurana
da informao, onde so descritos objetivos de controle e melhores prticas
relativos segurana da informao;
A norma 27003 concentra orientaes prticas para implementar e manter um
SGSI segundo o especificado pela norma 27001;
A norma 27004 elenca mtricas e medies para avaliao de um SGSI
segundo o especificado pela norma 27001;
A norma 27005 especfica um processo de gesto de riscos de segurana da
informao;
A norma 27006 oferece orientaes para certificao de um SGSI;
A norma 27007 apresenta orientaes para conduo de auditorias internas e
externas de um SGSI.
A normas 27011 e 27799 so normas que especificam orientaes e
melhores prticas em gesto de segurana da informao para organizaes
de setores especficos, respectivamente, telecomunicaes e sade.
As principais normas desta famlia so descritas mais detalhadamente na
subseo seguinte.

2.3.1 ABNT NBR ISO/IEC 27002 - Cdigo de prtica para a gesto da segurana
da informao

A norma ABNT NBR ISO/IEC 27002 foi a numerao atualizada atribuda

norma ABNT NBR ISO/IEC 17799 para inclu-la na famlia de normas 27000 que
trata da gesto de segurana da informao. Esta ltima foi criada em 2000 com
base no padro britnico BS 7799-1:1999 e revisada em 2005, quando foi includo
27

um captulo relacionado gesto de incidentes de segurana da informao.

A ISO 27002 descreve um cdigo de prtica para a gesto da segurana da
informao baseado nas melhores prticas de segurana da informao. So
especificados 39 objetivos de controle e 133 controles, distribudos em 11 captulos
que denotam as 11 clusulas de controle.
Os objetos de cada uma destas clusulas discutido seguir:

2.3.1.1 Poltica de Segurana da Informao

Conforme afirmado em Faustini (2010), a poltica de segurana da informao
de uma organizao o seu "pilar de eficcia" da segurana da informao,
caracterizando-se como o arranjo de princpios/procedimentos que servem de base
para a gesto de segurana da informao na mesma e que devem ser observados
por todos seus colaboradores. Assim, crtico que cada organizao pblica (na
verdade qualquer organizao) possua uma poltica de segurana da informao e
que esta seja de conhecimento dos licitantes/fornecedores quando das contrataes
de solues de TI, visto que a soluo oferecida dever transitar dentro dos limites
por ela impostos.
De acordo com Decreto n. 3.505, Brasil (2000), de 13 de junho de 2000, esse
documento tem como principais objetivos: promover as aes necessrias
implementao e manuteno da segurana da informao, estabelecer normas
jurdicas necessrias efetiva implementao da segurana da informao,
conscientizar as organizaes acerca da informao utilizada no mbito corporativo
e acerca dos riscos atrelados s vulnerabilidades dessas etc.

2.3.1.2 Organizao da Segurana da Informao

Diz respeito ao estabelecimento de uma estrutura que suporte a gesto da
segurana da informao dentro da organizao. Por meio da mesma que sero
planejadas e implementadas as medidas e aes referentes segurana da
informao. Esta estrutura deve ser definida formalmente com vistas a garantir que
as aes de segurana da informao sejam institudas e vistas como atividades de
responsabilidade de todos os colaboradores

2.3.1.3 Gesto de Ativos

28

Trata da proteo dos ativos da organizao (tais como ativos de informao,

ativos de software, ativos fsicos, servios, pessoas e ativos intangveis). Aborda
itens como inventrio de ativos, responsabilidade por ativos e utilizao de ativos,
alm de controles e diretrizes especficos para o ativos de informao.
Os direitos e responsabilidades relativos utilizao de ativos devem ser
explicitamente definidos e tambm devem estar dispostos nos contratos que
prevem alguma utilizao por parte dos funcionrios dos contratados.

2.1.3.4 Segurana em Recursos Humanos

Elenca diretrizes que visam garantir a segurana da informao antes,
durante e aps a contratao de recurso humanos. A observao desta clusula
garante que os recursos humanos envolvidos com a organizao (sejam eles
funcionrios, fornecedores ou terceiros) estejam cientes de suas responsabilidades
e papis no que tange segurana da informao.
Assim tais consideraes tambm devem ser alvo dos contratos de solues
de TI (como tambm de todos os contratos que prevem prestao de servios por
funcionrio terceirizado), visto a grande quantidade de ativos e informaes
manipuladas pela rea de Tecnologia da Informao.

2.1.3.5 Segurana Fsica e do Ambiente

Estabelece controles relativos a permetros de segurana; entrada fsica e
segurana em ambientes fsicos (como escritrios, salas e instalaes) e instalao,
utilizao e manuteno de equipamentos dentro e fora da organizao.

2.1.3.6 Gesto das Operaes e Comunicaes

Este captulo um pouco maior que os outros devido ao grande domnio que
mapeia. Esta clusula dispe diretrizes desde procedimentos e responsabilidades
operacionais a itens como cpias de segurana, gerenciamento da segurana em
redes e manuseio de mdias. Seu objetivo central, conforme indicado em (ABNT,
2005) :
"Garantir a operao segura e correta dos recursos de processamento da
informao."

2.1.3.7 Controle de Acesso

29

Aborda a dinmica de distribuio e manuteno de acessos aos sitemas de

informao da organizao, com o objetivo de controlar o acesso informao e
ativos relacionados.

2.1.3.8 Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao

A abrangncia deste captulo tambm vasta, tem como foco fazer com que
os sistemas de informao tenham como parte integrante a segurana da
informao, com vistas a garantir a segurana da informao processada pelos
mesmos.

2.1.3.9 Gesto de Incidentes de Segurana da Informao

Como explicitado em (ABNT, 2005), este captulo/clusula tem como objetivo:
"Assegurar que fragilidades e eventos de segurana da informao
associados com sistemas de informao sejam comunicados, permitindo a
tomada de ao corretiva em tempo hbil."

2.1.3.10 Gesto de Continuidade do Negcio

De acordo com Semola (2003), a gesto de continuidade do negcio tem
como objetivo permitir a continuidade de processos e informaes essenciais
sobrevivncia da organizao, no menor intervalo de tempo possvel, com vistas a
evitar/minimizar os impactos de incidentes.

2.1.3.11 Conformidade
Elenca os objetivos de controle e controles necessrios para que a
organizao possa respeitar os requisitos de conformidade relacionados
segurana da informao a que est sujeita, ou seja, tem como objetivo garantir que
o conjunto de normas, leis, regulamentaes, polticas etc (impostas interna ou
externamente) sejam cumpridos.

2.3.2 Sistemas de gesto de segurana da informao e a norma ABNT NBR

ISO/IEC 27001

Conforme descrito acima, a segurana da informao promovida por meio

de um conjunto de controles (tais como procedimentos, estruturas organizacionais,
30

polticas etc) com objetivos especficos. Um Sistema de Gesto de Segurana da

Informao (SGSI) visa (com base na anlise, avaliao e tratamento de riscos)
justamente permitir que a organizao que o implementa alcance seus objetivos
relativos segurana da informao. A prpria norma ABNT NBR ISO/IEC 27001,
(ABNT, 2006), que especfica requisitos para um SGSI, versa que um Sistema de
Gesto de Segurana da Informao baseia-se numa anlise de riscos para
estabelecer, programar, operar, monitorizar, rever, manter e melhorar a Segurana
da Informao.
"O SGSI projetado para assegurar a seleo de controles de segurana
adequados e proporcionados para proteger os ativos de informao e
propiciar confiana s partes interessadas."

Um SGSI, conforme especificado na norma, dentre outros requisitos, prev

uma estrutura organizacional definida, metodologia de medio e avaliao, e
sistematizao de processos. Por meio de tais, potencializa-se a identificao e
correo de pontos fracos na GSI, promoo da cultura de segurana da
informao, alcance dos objetivos propostos aos controles implementados etc.
Os processos do SGSI, que so estruturados com base no modelo Plan-Do-
Check-Act (PDCA) e sua sistematizao podem ser visualizados na figura 1.
Na figura 1, que ilustra um SGSI, como em qualquer sistema de informao,
temos as entradas, que so as expectativas das partes interessadas e os requisitos
de segurana da informao; o processamento que o ciclo de processos do SGSI
estruturados com base no modelo PDCA e a sada, que a prpria segurana da
informao gerenciada. Alm disso, pode-se observar o relacionamento das partes
interessadas com este sistema de informao.
31

Figura 2: Modelo PDCA aplicado aos processos do SGSI

(Fonte: ABNT, 2006, p. 6).

Os processos do SGSI proposto so:

2.3.2.1 Estabelecimento do SGSI (Plan)

Aqui so planejados e elaborados os princpios e as estruturas em que se
basear o SGSI, tais como poltica, objetivos de controle, controles, processos e
procedimentos. Tambm definido o escopo de aplicao do SGSI, alm de
analisar e avaliar os riscos de segurana da informao;

2.3.2.2 Implementao e Operao do SGSI (Do)

Os princpios e estruturas so ento implementados, e os tratamentos para os
riscos analisados e avaliados so formulados e tambm colocados em prtica;

2.3.2.3 Monitoramento e Anlise crtica do SGSI (Check)

Conforme afirmado em ABNT (2005), os processos implementados so
monitorados, analisados criticamente e passam por auditorias, considerando as
metas traadas pela poltica e objetivos controle. So analisados tambm os
resultados dos tratamentos de riscos implementados, levando em considerao os
nveis de riscos (residuais e aceitveis);
32

2.3.2.4 Manuteno e Melhoria do SGSI (Act)

Os pontos de melhoria diagnosticados no processo de "monitoramento e
anlise do SGSI" so analisados frente aos objetivos traados, e ento aes que
atuaro sobre estes so implementadas.
Alm da descrio destes processos, a ISO 27001 traz ainda, em seu anexo
A, uma relao dos objetivos de controles e controles derivados daqueles
especificados em ABNT (2005).

2.3.3 Gesto de riscos de segurana da informao e a norma ABNT NBR

ISO/IEC 27005:2008.

A gesto de riscos de segurana da informao, assim como qualquer

processo de gesto de riscos, uma gesto interativa cuja implementao tem o
intuito de melhorar continuamente o desempenho e a tomada de decises de uma
organizao maximizando as possibilidades de ganho, ao mesmo tempo em que
minimiza as possibilidades de perda, conforme indicado em ABNT (2008).
A gerncia de riscos ser tanto mais eficaz, quanto mais presente e
incorporada estiver na cultura organizacional da empresa. Ou seja, quanto mais
importncia for dada gesto de riscos nas atividades da organizao e na forma
em que estas atividades so executadas, mais qualidade e resultados sero
resultantes da mesma. Em Gualberto (2008), pode se observado um modelo de
informaes para gesto de riscos de segurana da informao e os resultados que
podem ser alcanados com a implementao deste processo de gesto de riscos.
A gerncia de riscos pode ser aplicada nas mais variadas esferas de uma
organizao, seja nela como um todo, ou apenas em um projeto especfico. Em
qualquer situao esse ambiente onde a mesma ser desenvolvida deve ser bem
definido, de modo a permitir as decises especficas e corretas que impliquem em
aes eficientes nesses processos. Ou seja, o escopo de aplicao da gesto de
riscos deve ser transparente e delineado. A definio de onde ou em que ser
implantada a gerncia de riscos de segurana da informao um dos itens mais
importantes no que tange ao princpio de estabelecer uma base para um processo
de gesto contnuo, conforme definido em Alberts & Dorofee (2002).
33

A gesto de riscos caracteriza-se como parte imprescindvel em uma boa

governana corporativa, pois organizaes que conseguem com xito cuidar dos
riscos aos quais esto propensas, tendem a atingir seus objetivos e a faz-lo com
um menor custo global como afirma AS/NZS (2004).
De acordo com IBGC (2007), a gesto de riscos promove maior
transparncia, ao informar aos investidores e ao pblico em geral os riscos aos
quais a organizao est sujeita, as polticas adotadas para sua mitigao, bem
como a eficcia das mesmas, alm de melhorar os padres de governana,
mediante a explicitao do perfil de riscos adotado, em consonncia com o
posicionamento dos acionistas e a cultura da organizao. Adicionalmente, a gesto
de riscos introduz uma uniformidade conceitual em todos os nveis da organizao,
seu conselho de administrao e acionistas.
No mbito das organizaes, qualquer que seja ela, sempre existe a
potencialidade de um evento ser uma oportunidade para xito ou uma ameaa a
uma execuo eficiente. Nesse processo, de acordo com ABNT (2008), o risco
visto como um evento ou condio incerta, algo que pode, ou no, acontecer, e que
se acontecer ter um impacto negativo sobre as metas e objetivos da organizao.
Resumidamente como afirma IRM (2002), risco a combinao da probabilidade de
um evento acontecer e suas consequncias nos objetivos da organizao. Chama-
se de oportunidade um possvel evento que se acontecer acarrete em impactos
vistos como positivos para a organizao.
No se pode confundir, aqui, incertezas com riscos, pois esses termos no
so sinnimos. O ponto chave para definir o que risco e o que apenas incerteza
a relao que esses eventos tm com os objetivos da organizao. Se um evento
incerto, mas as suas consequncias so indiferentes organizao ele no se
caracteriza como um risco, mas apenas como uma incerteza, pois como afirmado
em Hillson (2007), um risco no pode existir num vcuo. preciso enumerar os
objetivos ou informaes que seriam afetados se esse evento ocorresse.
Os riscos podem ser divididos por natureza e/ou por origem. Quanto
natureza os riscos podem ser categorizados em estratgicos, operacionais e
financeiros, podendo ter vrias naturezas concomitantemente, conforme exposto em
IBGC (2007). J quanto origem, os riscos podem ser externos (relacionados ao
ambiente macroeconmico, poltico, social, natural ou setorial em que a organizao
opera) e internos (so aqueles que so inerentes s atividades da organizao).
34

2.3.3.1 Processos que compem a gerncia de riscos

Existem vrias abordagens (algumas delas padres de direito), tais como

IBGC (2007), AS-NZS (2004), ABNT (2008), Alberts & Dorofee (2002) e IRM (2002),
que explanam acerca da gerncia de riscos, da gerncia de riscos de segurana da
informao especificamente e dos processos que as compem, definindo-as em
conjuntos de subprocessos/atividades. Para os propsitos deste trabalho, descrever-
se-o os processos conforme definidos em ABNT (2008) (visto que esta norma,
como j mencionado, uma integrante da famlia de normas 27000 e totalmente
aderente ao que proposto em ABNT (2005) e em ABNT (2006)): definio de
contexto, anlise/avaliao dos riscos, tratamento dos riscos e aceitao dos riscos,
alm de um monitoramento e reviso de riscos, e das comunicaes e consultas s
partes interessadas, em todas essas etapas.
Os processos que compem a gerncia de riscos so descritos a seguir.

2.3.3.2 Definio de contexto

Quando da deciso da implementao de uma gerncia de riscos, faz-se
extremamente necessrio o estabelecimento de um contexto bem definido, que
sero os parmetros bsicos para que possa ser diagnosticado com excelncia o
escopo dos riscos que sero considerados.
Conforme exposto em AS-NZS (2004), esse contexto alm de detalhar o
ambiente interno e externo da organizao, se estende a definir o propsito da
aplicao da gerncia de riscos de segurana da informao, o seu ambiente, seus
objetivos, suas estratgias, os critrios utilizados em cada um dos processos que a
compem e a elaborao de uma estrutura lgica de seguimento para o restante do
processo de gesto.

2.3.3.3 Apreciao de riscos

Este atividade se divide em anlise de riscos e avaliao de riscos, que so
descritas a seguir.

Anlise de Riscos
35

A anlise de riscos se subdivide em identificao de riscos e estimativa de

riscos, que so descritas a seguir.
Identificao de riscos
o Identificar os riscos delinear e caracterizar os eventos que podem
interferir nos propsitos de uma atividade, projeto, processo,
organizao, etc, a fim de gerenci-los. Para isso, como exposto em
IRM (2002), necessrio um conhecimento intrnseco da organizao,
do campo em que ela atua, do ambiente em que ela existe, das
relaes e servios jurdicos, polticos, sociais, culturais que ela
engloba, e sobretudo ter uma viso ampla de seus objetivos,
descrevendo as informaes crticas para o seu sucesso.
o Pode-se dividir a identificao de riscos nas seguintes etapas:
identificao dos ativos, identificao das vulnerabilidades,
identificao das ameaas, identificao das consequncias,
identificao dos controles existentes e registro dessas informaes.
Estimativa de riscos
o Esse processo objetiva desenvolver a compreenso dos riscos. A
observao nessa etapa se baseia nas consequncias de um
determinado evento e nas suas probabilidades de acontecer.
Analisando a natureza, as consequncias e as probabilidades dos
mesmos, decide-se se os riscos devem ser tratados, com qual
prioridade e quais as estratgias de tratamento apropriadas e com
melhor custo-benefcio relativos a tais riscos.
o A estimativa de riscos, segundo AS-NZS (2004), pode ser qualitativa
(geralmente a primeira a ser feita, dando uma viso geral dos nveis
dos riscos e identificando os riscos de maior prioridade), quantitativa
(em geral utilizada depois de uma estimativa qualitativa, atuando sobre
os riscos mais prioritrios, ou que podem trazer maior impacto por meio
de suas consequncias) ou semi-quantitativa.
Avaliao de riscos
De acordo com IRM (2002), o processo de avaliao de riscos consiste na
comparao dos riscos estimados com os critrios que foram estabelecidos
no processo de definio do contexto, que envolviam custos associados ao
tratamento dos riscos, benefcios, fatores ambientais, opinies das partes
36

interessadas etc. Alm de considerar a definio do contexto, deve-se levar

em conta outros documentos e requisitos tais como: requisitos contratuais,
requisitos legais e requisitos regulatrios.
Conforme explicitado em ABNT (2008), o principal objetivo desse processo
a tomada de decises a respeito dos riscos que necessitam de tratamentos e
daqueles que necessitam de tratamentos prioritrios, baseando-se nos
objetivos e no grau de oportunidade que pode ser gerado para a organizao,
respeitando o contexto definido.

2.3.3.4 Tratamento de riscos

No processo de tratamento de riscos, de acordo com AS-NZS (2004),
identificam-se opes para proteger a organizao dos riscos identificados,
analisados e avaliados.
Avalia-se esses tratamentos decidindo-se quais opes sero adotadas e em
qual ordem sero executadas, fazendo-se a preparao para que seja possvel
execut-las e finalmente, implementando as aes planejadas.
Fazer com que uma organizao no fique exposta a nenhum risco
impossvel. Diante dessa certeza, faz-se extremamente necessrio a definio de
prioridades e de direes dos esforos e controles a fim de minimizar o impacto
negativo e maximizar as oportunidades.
Consoante ao definido em ABNT (2008), o processo de tratamento de riscos
pode ser de quatro tipos, no excludentes entre si: reduo do risco (seleo de
controles apropriados para mitigar os riscos de segurana da informao), reteno
do risco (que refere-se opo de no implementar controles para tratamento de um
risco, diante do fato de o nvel desse risco atender aos critrios para a aceitao de
riscos), evitar o risco (eliminao das atividades/eventos que causam o risco ou
alterao nas condies de operao de tais) e transferncia do risco (compartilhar
determinados riscos com entidades externas, para que o mesmo seja tratado de
forma mais eficaz).

2.3.3.5 Aceitao do risco de segurana da informao

De acordo com ABNT (2008), nessa atividade que se delimita quais riscos
sero ou no aceitos formalmente, de acordo com os critrios para aceitao de
37

riscos, descrevendo como seu tratamento se dar, os possveis riscos residuais

resultantes e as condies associadas a essas decises.

2.3.3.6 Monitoramento e reviso

O processo de monitoramento e reviso ao longo do gerenciamento de riscos
e ao seu final assegura que novos riscos que surjam durante a execuo do
projeto/atividade no sejam desconsiderados ou que mudanas nos riscos sero
rapidamente reconhecidas pelo fato de os mesmos serem analisados e revisados
frequentemente, alm de revisar a execuo de respostas a riscos enquanto avalia
sua eficcia. Em suma, esse processo prima pela continuidade da pertinncia da
gerncia de riscos, conforme entendimento explcito em AS-NZS (2004) e em ABNT
(2008).

2.3.3.7 Comunicao e consulta

Esse processo engloba os dilogos com as partes interessadas, internas e
externas, sabendo que os mesmos tm vises pertinentes acerca dos riscos da
organizao e que essas percepes tm grande influncia em quais decises so
tomadas. Ento, partindo dessa premissa, as comunicaes e consultas a esses
intervenientes devem ser constantes, envolvendo assuntos tanto dos riscos, quanto
da sua gesto ao longo de todo esse macro-processo que a gesto de riscos.
Alm disso, quando existe uma comunicao efetiva, a distribuio de
responsabilidades e o entendimento da base em que se tomam as decises so
facilitados.

2.4 Segurana da Informao na Administrao Publica Federal

(APF)

De acordo com Pietro (2010), o termo administrao pblica diz respeito tanto
ao conjunto de atividades desenvolvidas pelo Estado quanto aos entes que exercem
estas atividades administrativas, ou seja, relativo ao aparato de entes e rgos, e
processos que tm como principal objetivo a administrao da mquina pblica,
tendo como principal princpio o interesse coletivo.
38

Segundo Alexandrino (1996), o arcabouo de atividades administrativas

desempenhadas refere-se administrao pblica em seu sentido objetivo, material
ou funcional; enquanto que o conjunto de entes que exercem tais atividades refere-
se administrao pblica em seu sentido subjetivo, formal ou orgnico. Quanto ao
sentido objetivo, a administrao pblica compreende o fomento, a polcia
administrativa e o servio pblico, j no sentido subjetivo, a administrao pblica
abrange tanto a administrao direta quanto a indireta.
Ainda de acordo com Pietro (2010), a administrao direta composta pelos
rgos integrantes da unio, dos estados, dos municpios e do Distrito Federal, aos
quais conferido o exerccio de funes administrativas; ao passo que a
administrao indireta composta pelas pessoas jurdicas com personalidade de
direito pblico ou privado (criadas para realizar estas atividades de forma
descentralizada) a quem foi transferida a execuo da atividade administrativa. So
entes da administrao indireta: empresas pblicas, sociedades de economia mista
e fundaes pblicas.
A APF tem direcionado grande ateno para a segurana da informao e
comunicaes, visto a criticidade de se proteger os ativos relacionados a esta
questo. Como ilustrao a esta preocupao, podem ser citadas as normas,
diretrizes e leis expedidas para gerir as aes e decises de segurana da
informao e comunicaes neste mbito.
H uma tabela sistematizada em DSIC (2008), que lista essas legislaes
relacionadas segurana da informao que aplicam-se especificamente APF, as
principais, juntamente com outras mais recentes no contidas na referida tabela,
esto listadas no Anexo A.
Alm das legislaes direcionadas, outras medidas tm sido tomadas quanto
segurana da informao no mbito da APF, tais como estudos e capacitaes.
Quanto a estudos pode-se citar o acrdo n 1603 de 2008, TCU (2008), que
analisou a situao da governana de TI nos rgos e entidades da APF e
encontrou dentre os vrios problemas: falta de poltica de segurana da informao,
falta de plano de continuidade de negcios, falta de classificao das informaes ,
falta de gerncia de incidentes e falta de gerenciamento de riscos de segurana da
informao.
Em contrapartida, as capacitaes tentam promover a segurana da
informao na APF e corrigir as falhas identificadas. Um grande exemplo disso o
39

curso de especializao em gesto da segurana da informao e comunicaes

promovido pelo Gabinete de Segurana Institucional da Presidncia da Repblica
em parceria com o Departamento de Cincia da Computao da Universidade de
Braslia, UnB (2010), que j est em sua terceira turma (que conta com mais de 150
alunos servidores e empregados pblicos federais).
Esta especializao faz parte de um programa de segurana da informao
na APF de escopo ainda maior. O governo federal, por meio do gabinete de
segurana institucional (GSI), estimou em cerca de 900 mil os servidores pblicos
federais e a partir desta estimativa, fez o seguinte planejamento para promover a
cultura de segurana da informao e comunicaes na APF:
Sensibilizar os 900 mil servidores pblicos federais - com vistas a permitir que
estes servidores sejam capazes de incorporar s suas atividades de trabalho
a segurana da informao e comunicaes;
Conscientizar 90 mil servidores pblicos federais - com vistas a permitir que
estes servidores sejam capazes de explanar sobre a segurana da
informao e comunicaes e sua importncia, e tambm de orientar outros
servidores sobre tal;
Capacitar 9 mil servidores pblicos federais - com vistas a permitir que estes
servidores sejam capazes de utilizar/trabalhar com ferramentas, tecnologias e
metodologias importantes na gesto da segurana da informao e
comunicaes (tais como gerenciamento de riscos, gerenciamento da
continuidade do negcio, controle de acesso, elaborao de polticas de
segurana da informao e comunicaes etc);
Especializar 900 servidores pblicos federais - com vistas a permitir que estes
servidores sejam capazes de refletir acerca da segurana da informao e
comunicaes e propor novas abordagens/solues para os assuntos
relacionados a esta rea, ou seja, para que estes sejam capazes de atuar
como pesquisadores sobre este tema;

A figura 2 mostra o esquema deste planejamento para disseminar a cultura de

segurana da informao no mbito da APF, conforme explicitado em GSI (2008):
40

Figura 2: planejamento para disseminar a cultura de segurana da informao

no mbito da APF. (fonte: GSI, 2008)
41

3 Contrataes de Solues de TI

Neste captulo so apresentados os principais normativos e legislaes relacionados

s contrataes de Solues de TI no mbito da administrao pblica federal, com
nfase na abordagem proposta em SLTI (2010) e SLTI (2011).

3.1 Licitaes e Contratos Administrativos

Em (PIETRO, 2010), licitao conceituada como:

(...) o procedimento administrativo pelo qual um ente pblico, no exerccio
da funo administrativa, abre a todos os interessados, que se sujeitem s
condies fixadas no instrumento convocatrio, a possibilidade de
formularem propostas dentre as quais selecionar e aceitar a mais
conveniente para a celebrao de contrato. .

J os contratos, conforme definido em Brasil (1993), referem-se aos acordos,

onde estabelecem vnculos entre si, a administrao pblica (entidades ou rgos) e
particulares, com vistas a atingir um objetivo, definindo-se as obrigaes de ambas
as partes para isso.
Os contratos discutidos pela lei 8.666/93 so os chamados contratos
administrativos, que so assim denominados, conforme explica Pietro (2010), pelo
fato de a administrao pblica agir como poder pblico e utilizar-se das
prerrogativas que lhe so previstas no direito pblico, manifestadas nas chamadas
clusulas exorbitantes. Estas clusulas so aquelas que, por assim dizer, excedem
aquilo que comum de obrigaes entre as partes, atribuindo administrao
pblica privilgios adicionais (exigncia de garantia, alterao unilateral, aplicao
42

de penalidades etc), que caracterizam esse tipo de relao jurdica como vertical, ao
invs de horizontal, como so as relaes nos contratos sob o direito privado.
Conforme dispe (Brasil, 1993):

A licitao destina-se a garantir a observncia do princpio constitucional da

isonomia, a seleo da proposta mais vantajosa para a administrao e a
promoo do desenvolvimento nacional sustentvel e ser processada e
julgada em estrita conformidade com os princpios bsicos da legalidade, da
impessoalidade, da moralidade, da igualdade, da publicidade, da probidade
administrativa, da vinculao ao instrumento convocatrio, do julgamento
objetivo e dos que lhes so correlatos.

Assim, observa-se que a referida lei se destina a estabelecer normas para

planejamento e execuo de licitaes e contratos administrativos para que a
administrao pblica possa contratar com terceiros: obras, servios, compras,
alienaes, concesses, permisses e locaes.
Uma observao interessante, que embora date-se de 1993, a lei 8.666 j
previa em seu artigo 12 que a segurana deveria ser um dos principais requisitos a
ser considerado quando dos projetos bsicos e projetos executivos de obras e
servios. No obstante, pode-se verificar, em vrios trechos do corpo desta lei, a
necessidade e importncia da incluso de clusulas, nos contratos, que descrevam
o objeto (ou servio) e a forma do seu fornecimento, como no pargrafo 1 do artigo
54, (BRASIL, 1993):

Os contratos devem estabelecer com clareza e preciso as condies para

sua execuo, expressas em clusulas que definam os direitos, obrigaes
e responsabilidades das partes, em conformidade com os termos da
licitao e da proposta a que se vinculam.,

ou nos incisos I, II, VII e XII do artigo 55:

I objeto e seus elementos caractersticos;

II o regime de execuo ou a forma de fornecimento;
VII os direitos e as responsabilidades das partes, as penalidades cabveis
e os valores das multas;
43

XII a legislao aplicvel execuo do contrato e especialmente aos

casos omissos;.

Assim, os aspectos da segurana da informao no podem ser desprezados

quando das contrataes de solues de TI. Devem-se estabelecer os critrios
necessrios a sua preservao, valendo-se das previses genricas, como os
trechos citados acima (ou outros dentro do grande arcabouo que regulamenta a
contratao de solues de TI na APF, como os elencados em Cruz (2008)) e
especficas como as instrues normativas e normas citadas nas sees anteriores
para delinear o relacionamento (e o tratamento da informao inerente a esse
relacionamento) entre a administrao pblica e terceiros em seus contratos
administrativos.

3.2 Aquisio de bens e servios comuns

A modalidade de licitao utilizada para aquisio de bens e servios comuns

o prego, que foi institudo no mbito da Unio, Estados, Distrito Federal e
Municpios em 2002, por meio da lei n 10.520. At a publicao desta lei, muito foi
discutido a respeito da constitucionalidade desta nova modalidade e da extenso de
sua aplicabilidade e utilizao aos estados, Distrito Federal e municpios (o decreto
3.555/2000 aprovava o regulamento para o prego somente no mbito das
entidades e rgos da unio), visto o imposto pelo 8o do art. 22 da lei 8.666 de
1993, (BRASIL, 1993):
vedada a criao de outras modalidades de licitao ou a combinao
das referidas neste artigo.
Porm, o prego acabou por se firmar como modalidade de licitao, prova
disso foi a publicao do decreto n 5.450/2005 que regulamenta o prego na forma
eletrnica, considerando o teor do previsto no 1o do art. 2o da Lei no 10.520,
(BRASIL, 2002):
Poder ser realizado o prego por meio da utilizao de recursos de
tecnologia da informao, nos termos de regulamentao especfica.

Os bens e servios comuns aos quais os decretos e leis relacionados ao

prego se referem dizem respeito, conforme afirmado em TCU (2010), queles cujas
44

especificaes so possveis de se estabelecer com base nos padres de mercado

(de forma clara, concisa e objetiva) e por meio das quais pode-se realizar medies,
anlises e comparaes dos produtos ofertados.
No prego, ao contrrio do convite, da tomada de preos e da concorrncia, a
fase de habilitao precedida pelo julgamento das propostas. As propostas iniciais
so oferecidas, em sesso pblica, juntamente com a documentao necessria e
aps isso so oferecidas novas propostas por meio de lances verbais ou por sistema
que promova a comunicao pela internet (www.comprasnet.gov.br por exemplo) at
que o menor preo seja alcanado, seja por desistncia dos licitantes ou por
esgotamento do tempo aleatrio de lances via internet.
Em Niebuhr (2010), so elencados vrios benefcios da utilizao do prego
como modalidade de licitao, tais como:
O prego escolhido como modalidade para um determinada licitao com
base na natureza da contratao/aquisio e no no valor estimado desta(s);
Promove maior agilidade, visto que na fase de habilitao so analisados
apenas os documentos do licitante classificado em primeiro lugar;
Permite a reduo de preos, pois os proponentes podem oferecer novas
propostas aps a abertura de todas as propostas escritas.

Alm disso, Niebuhr (2010) explicita que, no caso do prego eletrnico em

especfico, pode-se observar ainda as seguintes vantagens:
Diminuio de parte da burocracia de uma licitao;
Diminuio das vrias atividades do pregoeiro no processo como um todo,
haja vista que algumas dessas atividades (como a ordenao das propostas)
feita pelo sistema;
Aumento da competitividade, considerando que mais empresas, mesmo no
estando situadas prximas aos locais do prego, podem participar sem o
nus que teriam, por exemplo, com o deslocamento e a hospedagem dos
seus representantes sem a certeza de ser a vencedora do processo licitatrio.

3.3 Contratao de Servios

Com vistas a estabelecer um processo de contratao e tambm de avaliao

das contrataes de servios no mbito da Administrao Pblica Federal, foi
45

publicada a instruo normativa n 2, de 30 de abril de 2008. Esta norma dispe

sobre regras e diretrizes para a contratao de servios continuados ou no,
estabelecendo requisitos importantes como planejamento e o estabelecimento de
produtos ou resultados a serem obtidos (assim como das suas caractersticas de
qualidade e quantidade).
A mudana de paradigma de contratao de mo-de-obra utilizando postos
de trabalho por contratao de servios baseada em produtos/resultados foi
necessria devido ineficincia daquele em relao a este, principalmente no que
tange falta de critrios de mensurao do servio contratado (como por exemplo, o
pagamento ser realizado unicamente pela verificao de pessoas alocadas, sem
critrios de mensurao dos servios prestados mtricas, indicadores, valores
aceitveis etc).
A utilizao de postos de trabalho foi inclusive desaconselhada por vrios
acrdos do Tribunal de Contas da Unio (TCU), que realizou vrias
recomendaes para que este tipo de prtica fosse evitada. A preocupao em
mudar o contexto deste tipo de contrataes pode ser inferida nos artigos 11 e 12 IN
02, como citado abaixo (SLTI, 2008):

Art. 11. A contratao de servios continuados dever adotar unidade de

medida que permita a mensurao dos resultados para o pagamento da
contratada, e que elimine a possibilidade de remunerar as empresas com
base na quantidade de horas de servio ou por postos de trabalho.

1 Excepcionalmente poder ser adotado critrio de remunerao

da contratada por postos de trabalho ou quantidade de horas de servio
quando houver inviabilidade da adoo do critrio de aferio dos
resultados.

2 Quando da adoo da unidade de medida por postos de

trabalho ou horas de servio, admite-se a flexibilizao da execuo da
atividade ao longo do horrio de expediente, vedando-se a realizao de
horas extras ou pagamento de adicionais no previstos nem estimados
originariamente no instrumento convocatrio.

3 Os critrios de aferio de resultados devero ser

preferencialmente dispostos na forma de Acordos de Nvel de Servios,
46

conforme dispe esta Instruo Normativa e que dever ser adaptado s

metodologias de construo de ANS disponveis em modelos tcnicos
especializados de contratao de servios, quando houver.

Art. 12. O rgo ou entidade contratante, na contratao de servios de

natureza intelectual ou estratgicos, dever estabelecer a obrigao da
contratada de promover a transio contratual com transferncia de
tecnologia e tcnicas empregadas, sem perda de informaes, podendo
exigir, inclusive, a capacitao dos tcnicos da contratante ou da nova
empresa que continuar a execuo dos servios.

3.4 Licitaes e contratos de TI

No seu acrdo de n 786 do ano de 2006, o TCU rela tou o contexto ento
encontrado em praticamente toda a APF, no que tange licitao e contratao de
servios de TI. Problemas como: contratao por postos de trabalho (ou homem-
hora), falta de critrios de controle e metodologia de avaliao da qualidade dos
servios/produtos, itens/clusulas nos editais/termos de referncia que podiam
restringir a competitividade e violar o princpio da isonomia, especificaes de objeto
mal-definidas dentre vrios outros.
A criticidade das questes problemticas apontadas acima pode ser
percebida no trecho do voto no Ministro Relator Valmir Campelo onde o mesmo
discorre acerca da contratao pela mtrica homem-hora e da falta de critrios para
mensurao dos servios prestados, (TCU, 2006):

76. A primeira dessas disfunes correspondia ao que denomino paradoxo

do lucro-incompetncia. Isso significa que, quanto menor a qualificao dos
profissionais alocados na prestao de servio, maior o nmero de horas
necessrio para execut-lo, maior o lucro da empresa contratada e maior o
custo para a Administrao. 77. Outra disfuno consistia na tendncia de
se remunerar todas as horas de disponibilidade dos empregados da
empresa, ainda que no produtivas, em razo da dificuldade da
Administrao em controlar a efetiva atividade dos profissionais
terceirizados. Com isso, havia a possibilidade de que a empresa viesse a
ser remunerada sem que houvesse a contraprestao em servios
efetivamente realizados.
47

Diante da problemtica verificada, o TCU recomendou Secretaria de

Logstica e Tecnologia da Informao do Ministrio do Planejamento, Oramento e
Gesto (SLTI/MPOG), no mesmo acrdo, que desenvolvesse um modelo de
licitao e contratao de servios de informtica e que orientasse normativamente
os rgos e as entidades da APF na implementao do mesmo. Este modelo devia
constar no mnimo de itens como: fixao dos procedimentos e dos critrios de
mensurao dos servios prestados, metodologia de avaliao dos servios, a
definio e a especificao dos servios a serem realizados, o volume de servios
solicitados etc; alm de contemplar as fases de planejamento da contratao,
seleo do fornecedor e gerenciamento do contrato.
Tal recomendao resultou na instruo normativa n 04, que teve sua
primeira verso em 2008, e outra que a substituiu em 2011, publicada em 12 de
novembro de 2010.
Como j discutido acima, ainda antes de a IN 04/2008 entrar em vigor, o TCU
realizou um levantamento da situao da governana de TI no mbito da APF,
acrdo 1603/2208, TCU (2008), constatando que muitas aes precisavam ser
tomadas urgentemente para adequar algumas das inconsistncias encontradas.
Dentre os achados, podem-se citar itens relacionados diretamente segurana da
informao e contratao de servios de TI, tais como: falta de planejamento
estratgico institucional e de TI, ausncia de poltica de segurana da informao,
ausncia de plano de continuidade de negcios, ausncia de procedimentos de
controle de acesso, ausncia de gesto de mudanas, ausncia de anlise de
riscos, ausncia/deficincia na classificao de informaes, ausncia de gesto de
nveis de servio dos servios contratados, ausncia de processo formal de trabalho
para contrataes de TI, ausncia de explicitao dos benefcios nas contrataes,
ausncia de processo formal de trabalho para gesto de contratos de TI, no
realizao de reunies peridicas para avaliar o andamento dos contratos de TI,
no-definio prvia de itens para atestao tcnica das faturas de contratos de TI,
no-transferncia de conhecimento relativo aos produtos e servios terceirizados
para os servidores dos rgos/entidades etc. Esse acrdo ento gerou
recomendaes tanto ao GSI-PR, para os aspectos relacionados segurana da
informao (muitas das normas complementares do GSI-PR relacionadas gesto
de segurana da informao e comunicaes listadas acima originaram-se destas
48

recomendaes), quanto para a SLTI/MPOG, no que tange s contrataes de TI

(algumas das alteraes estabelecidas pela IN 04/2010 refletem isso).
A IN 04/2010, SLTI (2010), estabelece o atual processo de contratao de
Solues de TI para os rgos integrantes do Sistema de Administrao dos
Recursos de Informao e Informtica (SISP) do Poder executivo Federal e traz
consigo mudanas importantes como a ampliao do escopo de servios de TI para
solues de TI, incluso do Documento de Oficializao de Demanda (DOD) e
introduo da equipe de planejamento de contratao (constituda por trs
integrantes: um do mbito administrativo, outro do tcnico e ainda um da rea
requisitante da soluo).
So trs as fases da contratao de solues de TI segundo esta instruo
normativa: Planejamento da Contratao de Soluo de TI, Seleo do Fornecedor
de Solues de TI e Gerenciamento do Contrato de Soluo de TI. O fluxo destas
fases representado pelas figuras 3, 4 e 5. Conforme disposto em SLTI (2011): a
fase planejamento de contratao composta por cinco processos e quarenta e
uma atividades (alm de produzir oito artefatos), j a fase de seleo do fornecedor
de solues de TI composta por trs processos e sete atividades (produz um
artefato), ao passo que a fase de gerenciamento do contrato composta de cinco
processos e dezenove atividades (e produz quatro artefatos).
Embora ainda contenha os quatro processos-chave da fase de planejamento
da contratao da IN 04/2008 (anlise de viabilidade da contratao, plano de
sustentao, estratgia de contratao e anlise de risco), esta nova verso
expressa uma maior preocupao com a relao entre o planejamento estratgico
institucional e de TI com as contrataes de solues de TI, conforme pode ser
verificado em (SLTI , 2011):
conveniente que do planejamento estratgico da organizao retirem-se
as informaes necessrias ao planejamento de TI, pois estes so
altamente interdependentes (IN 04/2010, art. 4). Com isto, e tendo como
referncia uma EGTI, elabora-se o PDTI considerando-se as estratgias de
negcios que sero suportadas no perodo definido no Planejamento
Estratgico Institucional e descrevendo a forma como a TI suportar tais
estratgias em um nvel macro.
Assim sendo, necessria a identificao das necessidades de informao
do rgo e da forma como estas informaes se relacionam com as
estratgias definidas no Planejamento Estratgico do rgo. necessrio
49

tambm que o PDTI contenha todo o planejamento de investimentos, de

contratao de bens e servios, bem como de quantitativo e capacitao de
pessoal relacionado a TI.
 50

Figura 3: Planejamento da Contratao de Soluo de TI. (fonte: SLTI, 2011)

 51

Figura 4: Seleo do Fornecedor de Solues de TI. (fonte: SLTI, 2011)

 52

Figura 5: Gerenciamento do Contrato de Soluo de TI. (fonte: SLTI, 2011)

53

4 Resultados

Este captulo apresenta o estudo de caso realizado na Organizao OPF,

explicitando as tcnicas e mtodos utilizados, as caractersticas desta autarquia e o
cenrio de segurana da informao e contrataes de solues de TI observado
nesta organizao.

4.1 A Organizao OPF

4.1.1 Natureza e Misso

A Organizao OPF uma autarquia em regime especial que tem por misso
regular a execuo, por particular, de servios pblicos de estado relacionados a um
setor especfico de mercado.
Autarquia, conforme expressa o art. 5 de (BRASIL,1967), "o servio
autnomo, criado por lei, com personalidade jurdica, patrimnio e receita prprios,
para executar atividades tpicas da Administrao Pblica, que requeiram para seu
melhor funcionamento, gesto administrativa e financeira descentralizada.". J o
regime especial diz respeito autonomia financeira e a independncia administrativa
necessrias ao exerccio da atividade de regulao, que exorbitam s propriedades
de uma autarquia, conforme explica Pietro (2010).
Para realizar sua misso, que regular um setor de mercado especfico, de
forma que o mesmo se desenvolva e seja capaz de oferecer a todo Brasil os
servios esperados, esta organizao possui representaes espalhadas por todo o
54

territrio nacional, o que a possibilita atuar de forma abrangente e tambm de forma

pontual.

4.1.2 Competncias e Negcios

A regulao envolve atividades de regulamentao (normatizao e

padronizao), fiscalizao e de concesso de direitos de atuao no setor regulado
a entidades privadas. Assim, dentre as competncias dessa organizao, as
principais so:
Expedir normas e padres que especifiquem a base de operao para o setor
regulado;
Fiscalizar se as empresas que prestam os servios regulados esto de acordo
com as normas e padres especificados;
Atuar como autoridade legal em matria relacionada ao setor regulado;
Administrar o setor regulado no que diz respeito distribuio de concesses
para explorao e prestao de servios.

4.1.3 Gesto e Estrutura Organizacional

Na organizao, o rgo mximo que tem por responsabilidade a direo dos

rgos administrativos que compem esta entidade o conselho diretor, este
composto de 5 integrantes que so indicados pelo presidente da Repblica, que
tambm os nomeia, aps serem aprovados pelo senado federal. O conselheiro
presidente, alm de presidir o conselho diretor em suas sesses, exerce as funes
de presidente-executivo da organizao, de representao desta organizao e o
seu comando hierrquico no que tange aos recursos humanos e aos servios
prestados.
O conselho diretor e a presidncia so auxiliados por vrios rgos nas suas
funes/decises: conselho consultivo, ouvidoria, procuradoria, corregedoria,
auditoria e assessorias. J para a execuo dos servios, a Organizao OPF tem
hierarquicamente, abaixo do conselho diretor, a seguinte estrutura:
superintendncias, que se dividem em gerncias gerais, que por sua vez se dividem
55

em gerncias executivas, que ainda se dividem em gerncias operacionais. O

relacionamento hierrquico entre estes rgos pode ser visualizado na figura 6.

Figura 6: Estrutura Organizacional das Superintendncias.

Os processos relacionados TI da organizao so de responsabilidade de

uma gerncia geral, vinculada Superintendncia de administrao que a
superintendncia responsvel pelos assuntos administrativos da organizao tais
como: planejamento, oramento, finanas, gesto da informao, recursos humanos
e desenvolvimento organizacional. As outras superintendncias desta organizao
so direcionadas s suas atividades-fim.
Atualmente toda esta estrutura organizacional conta com aproximadamente
1600 servidores pblicos efetivos, sem contar os colaboradores cedidos de outros
rgos e vrios funcionrios terceirizados.

4.1.4 Stakeholders

Clientes:
56

Sociedade;
Empresas do setor;
O Estado;

Colaboradores:
Servidores pblicos efetivos de carreira ;
Servidores pblicos nomeados;
Empregados e servidores pblicos cedidos de outros rgos e
entidades;
Funcionrios terceirizados;

4.1.5 Requisitos de Conformidade

A Organizao OPF, como outras entidades e rgos da APF, est sujeita a

vrias regulamentaes de conformidade. Assim, este conjunto de normas, leis e
polticas, e os requisitos a ele associados devem ser observados e cumpridos.
Abaixo so listados alguns dos principais requisitos de conformidade relacionados
segurana da informao e contratao de solues de TI a serem observados
pela organizao:
Instrues normativas do Gabinete de Segurana da
Informao;
Normas complementares do Departamento de Segurana da
Informao e Comunicaes
Instrues Normativas do Ministrio do Planejamento,
Oramento e Gesto (em especial as instrues normativas n
02 e 04 que tratam de contratao de servios e solues de TI
respectivamente);
Normas Brasileiras de Segurana da Informao;

4.2 A Segurana da Informao na Organizao OPF

Em Gualberto (2010), so expostos os resultados de um estudo de caso

acerca da situao da gesto da segurana da informao no mbito da
57

Organizao OPF. Abaixo so descritas algumas de suas constataes que so

relevantes para este trabalho, atualizadas pelos estudos de caso realizados ao longo
das 18 disciplinas deste programa de especializao e pelo estudo de caso em
especfico realizado para elaborao deste trabalho.
Na Organizao OPF, verificou-se que a questo da segurana da informao
ainda inicial. Observaram-se os seguintes itens:
Inexistncia de poltica de segurana da informao;
Existncia de um comit de segurana da informao
Inexistncia de um processo de gesto de riscos de segurana da
informao;
Inexistncia de um processo de gesto de continuidade de negcios
Falta de um processo de gesto de mudanas;
Falta de padronizao no processo de desenvolvimento de sistemas de
informao;
Falta de documentao relativa aos de sistemas de informao;
Falhas no planejamento estratgico institucional e de TI;
Falta de servidores na rea de TI e falta de capacitao;
Falta de auditoria especfica de segurana da informao;
Recursos da infraestrutura de TI insuficientes frente s demandas;
Controle de acesso organizado, porm sem uma poltica formalizada.

4.3 Contrataes de Solues de TI da Organizao OPF

Com relao s contrataes de Solues de TI foram verificados os

seguintes itens:
Utilizao do modelo de contratao de solues de TI proposto pela
SLTI/MPOG, que baseia-se na IN 04/2010;
Processo inicial: algumas tarefas ainda no so bem compreendidas,
ou so executadas de forma superficial;
Falta de PDTI;
Falta de integrao entre as reas dos integrantes da equipe de
planejamento da contratao;
58

Falhas do processo de fiscalizao dos contratos;

Abaixo so listados os dados e informaes obtidos relacionados aos dois

contratos que foram pesquisados:

4.3.1 Contrato n 24/2008

Objeto: Prestao de servios de atendimento e suporte presencial a usurios de
informtica (primeiro nvel baseado em suporte telefnico, por meio de central de
servios 0800 ou sistema de helpdesk, e segundo nvel baseado em atendimento
presencial), e atendimento a usurios de telefonia (apenas primeiro nvel, baseado
em suporte telefnico, por meio da central de servios 0800 ou sistema de
helpdesk), compreendendo as atividades detalhadas na Clusula Quinta do presente
Contrato, cujas especificaes e condies constam deste instrumento e seus
documentos integrantes.

Assinado em 10 de julho de 2008, est em seu 3 termo aditivo, com validade at dia
09 de julho de 2012.

Estabelece que a contratada deve manter residente no ambiente tecnolgico

operacional da contratante nmero suficiente de tcnicos, a seu julgamento, para o
fiel cumprimento dos nveis de servio exigidos relacionados ao segundo nvel. O
contrato detalha a forma de fornecimento dos servios, tais como devem ser as
solicitaes de servios (abertura, manuteno, registro de informaes e
encerramento dos chamados), os tipos de classificao das solicitaes (severidade
alta, mdia ou baixa), os tempos mximos para execuo de cada tipo de solicitao
de acordo com a severidade, a utilizao do sistema de helpdesk da contratante
para auxiliar o controle das solicitaes etc.
Ainda so definidos itens que devem compor o relatrio, por parte da
contratada, sobre a prestao de servio, tais como a qualidade do servio prestado
(com base nos indicadores e nveis de servios exigidos, que foram critrios de
avaliao objetivos definidos para estes servios), dados estatsticos sobre o
desempenho das ligaes para a central de servios (nmero de ligaes
recebidas/perdidas, horrio de pico, tempo mdio de durao das chamadas etc) e
problemas vivenciados juntamente com as solues adotadas.
59

So listadas as obrigaes da contratada e da contratante, as condies para

emisso dos termos de recebimento provisrio e definitivo e as sanes
administrativas passveis de serem aplicadas (com base em uma tabela de
infraes, que determinam um percentual a ser glosado do valor mensal da fatura da
contratada).
Na clusula quinta, no item 5.6, onde so descritas as principais atividades do
suporte de primeiro e segundo nvel, fica explcito em vrios subitens que a
contratada responsvel por documentar procedimentos operacionais por ela
realizados, alm de transferir s pessoas indicadas pela contratante o conhecimento
referente s solicitaes atendidas.
Abaixo so transcritas clusulas que disciplinam questes como o modelo de
contratao, a adequao do fornecimento dos servios a melhores prticas e o
tratamento das informaes da contratante:

Clusula dcima terceira do modelo de execuo dos servios

13.1 Para a execuo do contrato, ser implementado mtodo de trabalho
baseado no conceito de delegao de responsabilidade. Esse conceito
define a contratante como responsvel pela gesto do contrato e pela
atestao da aderncia aos nveis de qualidade e prazos exigidos dos
produtos e servios, e a contratada como responsvel pela execuo
operacional dos servios e gesto dos recursos humanos e fsicos a seu
cargo.
13.2 Os servios executados no escopo do presente contrato envolvero a
execuo de atividades pontuais, para atender a necessidades especficas
e atividades de rotina, que devem ser executadas de maneira contnua para
apoiar os processos de trabalho da contratante.
13.3 A execuo dos trabalhos dar-se- a partir da emisso de ordens de
servio, emitidas pela contratante e rematadas no decorrer de cada ms da
execuo contratual. Neste instrumento de controle constaro a
identificao dos responsveis pela emisso; a definio e a especificao
dos servios a serem realizados; o volume de servios solicitados e
realizados segundo as mtricas definidas; o cronograma de realizao dos
servios, includas as tarefas significativas e seus respectivos prazos; os
resultados ou produtos esperados e realizados; a avaliao da qualidade
dos servios realizados e as justificativas do avaliado; a identificao dos
responsveis pela avaliao da qualidade e pela atestao dos servios
realizados.
60

Clusula dcima - da proteo s informaes da contratante

10.1 A contratada e seus prepostos devero guardar sigilo sobre dados e
informaes obtidos em razo da execuo dos servios contratados ou da
relao contratual mantida com a contratante, abstendo-se de divulg-los a
terceiros sob qualquer pretexto, a menos que prvia e formalmente
autorizada pela contratante.
10.2 A contratante ter propriedade sobre todos os documentos e
procedimentos operacionais produzidos no escopo da presente contratao.
10.3 Os recursos de TI no podero ser utilizados pela contratada ou seus
prepostos para realizao de atividades alheias aos servios previstos ou
englobados nesta contratao, exceto quando autorizado pela contratante.

Clusula dcima primeira da aplicao do ITIL (Information Technology

Infrastructure Library)
11. O servios executados no escopo desta contratao devem obedecer s
normas, procedimentos, tcnicas e prticas preconizadas pela biblioteca
ITIL e adotados pela contratante. O escopo dos servios da presente
contratao envolve os conceitos de suporte a servios e entrega de
servios, conforme nomenclatura preconizada pelo modelo ITIL, em sua
verso 2.

4.3.2 Contrato n 02/2011

Objeto: Suporte presencial de terceiro nvel a servidores de bancos de dados,
plataformas para hospedagem de sistemas de informao web, servidores utilizados
pelo ambiente de desenvolvimento e servidores de correio eletrnico, sob a forma de
execuo indireta com locao de mo-de-obra, em regime de empreitada por preo
global, observados os nveis de servio exigidos.
Assinado em 25 de janeiro de 2011, com validade at dia 24 de janeiro de 2012.

Estabelece que a contratada deve manter residente no ambiente tecnolgico

operacional da contratante nmero suficiente de profissionais (sendo a
responsabilidade da definio, tanto do quantitativo, quanto dos nveis salariais, da
contratada), para o fiel cumprimento dos nveis de servio exigidos relacionados ao
terceiro nvel de suporte em informtica (servios de produo: servidores
corporativos, de bancos de dados, de e-mail, de arquivos etc). O contrato detalha a
forma de fornecimento dos servios, tais como devem ser as solicitaes de servios
(abertura, manuteno, registro de informaes e encerramento dos chamados), os
61

tipos de classificao das solicitaes (severidade alta, mdia ou baixa), os tempos

mximos para execuo de cada tipo de solicitao de acordo com a severidade, a
utilizao do sistema de helpdesk da contratante para auxiliar o controle das
solicitaes etc.
So previstas as condies para renovaes e repactuaes, visto o objeto
deste contrato ser um servio de natureza continuada, cuja prestao neste perodo,
no esgota necessidade futura.
So listadas as obrigaes da contratada e da contratante, as condies para
emisso dos termos de recebimento provisrio e definitivo e as sanses
administrativas passveis de serem aplicadas (com base em uma tabela de
infraes, que determinam um percentual a ser glosado do valor mensal da fatura da
contratada).
No anexo I, descrito o objeto do contrato e tambm os requisitos desta
prestao de servios por tipos: de hardware, software, legais, sociais etc, alm dos
perfis de profissionais necessrios (indicando os conhecimentos/certificaes
necessrios/exigidos). Os requisitos de segurana previstos so:

2.1.4.1 Os recursos de TI no podero ser utilizados pela contratada ou

seus prepostos para realizao de atividades alheias aos servios previstos
ou englobados nesta contratao.
2.1.4.2 A contratada dever manter sob sigilo as informaes que vier a
tomar conhecimento por fora da contratao, abstendo-se de divulg-las.
2.1.4.3 A contratada dever respeitar as normas de segurana
estabelecidas pela contratante durante a realizao de atividades no
ambiente desta.
Est explcito em vrios subitens que a contratada responsvel por
documentar procedimentos operacionais por ela realizados, alm de transferir s
pessoas indicadas pela contratante o conhecimento referente s solicitaes
atendidas.
Ainda no anexo I, so descritas as atividades a serem executadas pela
contratada, os procedimentos e critrios de mensurao dos servios, e a avaliao
de especificaes funcionais e qualidade dos servios. Alm disso, define-se que
sero da contratante os direitos de propriedade intelectual sobre a documentao e
produtos originados no mbito do contrato, que o conhecimento detido pela
contratada dever ser transferido para a contratante atravs de operao assistida e
62

do registro de informaes no sistema helpdesk, e que sero firmados

compromissos, mediante assinatura de termo sobre sigilo e segurana. Em seu
ltimo item, item 8, o anexo 1 ainda explicita o plano de sustentao dos servios
contratados, onde so previstos vrios aspectos relacionados segurana da
informao como controle de contas, acessos fsicos, acessos remotos etc.
No anexo VI do contrato, so tabelados os servios e o volume de utilizao
destes ao longo de 2009.

4.4 A segurana da informao nas Contrataes de Solues de TI

no mbito da Organizao OPF

Com relao ao trato dado segurana da informao especificamente nos

contratos de solues de TI, observam-se os seguintes achados:
Especificao de alguns requisitos de segurana da informao para as
contrataes propostas;
Falta de definies acerca do nvel e tipo de acesso, dado aos terceirizados
contratados, s informaes e ativos da organizao;
Falta de monitorao sobre os requisitos de segurana especificados quando
da execuo do contrato;
Falta de documentao e transferncia de conhecimento das atividades e
trabalhos realizados pelos terceirizados

As discusses acerca da segurana da informao nas contrataes de

solues de TI e do contexto encontrado na ORGANIZAO OPF so descritas no
captulo 5.
63

5 Anlise dos dados

Neste captulo so discutidos os resultados obtidos, tomando por base para

anlise os modelos, melhores prticas e requisitos de conformidade relacionados s
contrataes se solues de TI e segurana da informao explicitados no captulo
2 e no captulo 3. So apresentadas ainda observaes que podem ser relevantes
para promover mudanas e melhorias no cenrio encontrado.

5.1 Consideraes a cerca da segurana da informao e das

contrataes de solues de TI no mbito da Organizao OPF

Assim como verificado em Gualberto (2010), a gesto da segurana da

informao na Organizao OPF ainda inicial. Mesmo tendo sido institudo o
comit de segurana da informao e editada uma poltica de segurana da
informao, a mesma ainda no foi publicada e isso impacta direta e negativamente
na gesto desta questo.
Como a poltica de segurana da informao ainda no foi publicada e a sua
aplicao ainda no foi instituda, no existe a percepo de que a segurana da
informao uma prtica que deve estar alinhada s necessidades do negcio
dessa organizao.
A no existncia de uma poltica de segurana da informao, alm de
dificultar a implantao de outros processos de segurana da informao, no
formaliza qualquer processo de monitorao que afete dicotomia propriedade x
privacidade dos usurios. Muito embora j exista at certa jurisprudncia
relacionada responsabilizao de funcionrios por utilizao indevida dos
recursos/ativos de informao no mbito da organizao que respaldem este tipo de
verificao, tal monitorao deve ser formalizada e informada ao
64

usurio/colaborador (assinatura de termos de comprometimento, sigilo e cincia). A

utilizao de equipamentos como notebooks, pen drives, discos rgidos externos etc
segue a mesma linha. Muito embora sejam itens de propriedade e uso particular,
estes podem ser utilizados para manipulao e transporte de informaes
organizacionais o que pode impactar diretamente nos objetivos da organizao.
Embora o comit de segurana da informao tenha representantes de cada
rea da ORGANIZAO OPF, a participao de todas as reas deve se dar em
todos os nveis, desde o estratgico ao operacional, porm, sem os itens relatados
acima, no h como a segurana da informao ser uma prtica sistmica.
Os requisitos de segurana da informao especificados na organizao so
poucos e precisam ser melhor discutidos e divulgados. No existe uma divulgao
em toda organizao quanto as melhores prticas e princpios de segurana da
informao. Estes documentos/modelos so discutidos apenas na rea de TI. A
promoo de uma cultura de segurana da informao fator essencial para que a
segurana da informao no seja uma prtica parte das atividades dos
colaboradores, mas sim s componham.
A segurana da informao na organizao no acontece de maneira
formalizada. No existe um processo de gerenciamento efetivo sobre esta. A mesma
no tratada de forma sistmica e no existe uma conscientizao de sua
importncia, sendo considerada apenas em algumas situaes. No existe qualquer
indicador que objetive demonstrar as melhorias que a mesma traz ou pode trazer,
nem mesmo uma mtrica que avalie a sua qualidade e desempenho. Como a
segurana da informao no vem sendo tratada como estratgica, requerer
recursos financeiros para esta questo torna-se uma tarefa mais difcil.
Atualmente, no so realizados monitoramentos do funcionamento dos
equipamentos da infraestrutura de TI, estes eram realizados por uma equipe que
observava a disponibilidade dos elementos e servios de TI e tambm por meio do
acompanhamento do desempenho e capacidade destes elementos, porm o
contrato para este servio expirou-se e no foi licitado novamente.
No existe gesto de continuidade dos negcios, e nem especificamente dos
servios de TI. Apenas foi criado um modelo de plano de recuperao de negcios
(ou plano de recuperao operacional), com vistas a realizar um planejamento pr-
ativo para quando da ocorrncia de situaes atpicas que provoquem a
65

indisponibilidade dos servios de TI. Contudo, no existem planos de continuidade

do negcio e nem um plano de gesto de incidentes.
Na organizao OPF existe uma rea responsvel por auditorias, porm esta
no realiza auditorias especficas que contemplem os detalhes relacionados
segurana da informao. No h tambm uma preparao especfica para o
tratamento e resposta a incidentes e este se d de forma ad hoc quando da
ocorrncia de incidente de segurana computacional especfico. Esta afirmao est
calcada na verificao da inexistncia de um procedimento/poltica que defina uma
metodologia padronizada de resposta a incidentes de segurana computacional
dentro do mbito da organizao OPF. A deciso sobre como se tratar um incidente
de segurana da informao s se d quando da ocorrncia deste.
Quanto s contrataes de solues de TI, observa-se que a Organizao
OPF tem cumprido s recomendaes estabelecidas em SLTI (2008) e SLTI (2010).
Estas instrues normativas, especialmente a segunda, tm auxiliado no processo
de planejamento das contrataes, porm esse processo ainda no se d de forma
totalmente gerenciada: existem modelos para os documentos a serem elaborados,
mas o processo ainda no est totalmente amadurecido e repetvel quanto
necessrio.
Atualmente, tem-se tentado seguir o modelo de contratao disposto em SLTI
(2011), que o modelo proposto para toda a APF. Este modelo contempla as fases
de planejamento da contratao, seleo do fornecedor e gerenciamento do contrato
previstas na IN 04/2010, SLTI (2010). A utilizao destes documentos pode ser
observada pela resposta de alguns dos entrevistados, quando perguntados sobre o
processo de contratao de solues de TI no mbito da organizao:

Bom, h um processo definido pelo MPOG que idealmente deveramos

seguir. Mas na prtica, a meu ver, acabamos sendo mais orientados pelos
templates, que cada um preenche da forma que for mais conveniente.
Eventualmente, para tpicos mais problemticos, podemos utilizar o
processo do MPOG como referncia. Para mim, nosso processo est mais
para ad hoc... Quanto aos requisitos de compliance, o processo
necessariamente deve estar aderente IN n4, ou haver impedimentos por
parte da procuradoria.
66

As novas contrataes esto aderentes ao disposto nas instrues

Normativas Ns 04 e 02 do MPOG

Na Organizao OPF so adotados os procedimentos previstos na IN 04,

da SLTI/MPOG. Foi elaborado um modelo de contratao prprio para a
organizao, com base nesta norma. Atende, pois, aos requisitos da IN04.

Porm algumas atividades ainda no so realizadas da forma devida, o que

prejudica o processo como um todo, visto que so importantssimas ao
planejamento destas contrataes. As respostas abaixo sobre o processo de
contrataes exemplificam bem isto:

Ele est estabelecido com base no modelo de contrataes proposto pela

SLTI/MPOG. Porm vejo que embora existam templates com explicaes
e exemplos para elaborao, faz-se necessrio um processo definido que
institucionalize quais as prticas e procedimentos a serem adotados. Os
requisitos de compliance so atendidos, mais os planos de sustentao e a
anlise de riscos ainda so muito incipientes e superficiais, cumprindo o que
normatizado, mas falhando em sua efetividade.

Embora tenha muito que evoluir, julga-se ser um processo gerenciado to

somente pelo simples fato da Organizao OPF ser parte integrante do
SISP e, consequentemente, ser obrigada a realizar as contrataes nos
moldes da IN04;

Observa-se que na fase de planejamento da contratao tem-se encontrado

dificuldades devido falta de planejamento em nvel estratgico e ttico da rea de
TI (de modo a suportar as necessidades do negcio da organizao e de seus
objetivos/misso). Exemplo disso a falta de um plano diretor de TI (PDTI), onde
deveriam estar previstos os planejamentos prvios das solues de TI a serem
implementadas/adquiridas, este documento essencial aos trabalhos de um comit
de TI, quando da priorizao de projetos. Em TCU (2011), observaram-se falhas no
processo de planejamento de TI e no PDTI ento em vigor (PDTI 2009/2010), onde
estes refletiam falta de alinhamento estratgia institucional da organizao, de
gesto de riscos, de plano de investimento e de indicadores de desempenho.
67

As respostas abaixo, relacionadas ao planejamento estratgico institucional e

de TI ilustram este cenrio:

vista em parte, talvez justamente pela falta de aderncia das solues de

TI implementadas s necessidades da organizao. A TI precisa estar
preparada para suportar o negcio da organizao, porm isso s ocorrer
de forma plena se o planejamento de TI for feito balizando-se pelo
planejamento estratgico institucional.

No h compreenso da necessidade de se realizar os investimentos em

TI alinhados aos objetivos estratgicos da organizao. Essa afirmativa se
justifica pois no h Plano de Diretor de TI vigente para este ano (2011).
Outro aspecto que corrobora com a afirmao retro est no fato das
contrataes de TI serem projetos de iniciativa unicamente da TI. Em sua
maioria, as aquisies de TI pouco se alinham com as necessidades das
reas de negcio,(...)

No dia 25 de julho de 2011, foram nomeados por portarias, respectivamente,

o comit interno de TI e a equipe responsvel pela elaborao do plano diretor de
tecnologia da informao (PDTI) no mbito da Organizao OPF (que inclusive tem
a responsabilidade de elaborar esse documento no prazo de 120 contados da
publicao da portaria no boletim de servio).
Ainda quanto fase de planejamento da contratao, observa-se que,
embora existam muitas falhas no alinhamento entre os projetos de TI e os objetivos
da organizao, h uma percepo de que falhas nas contrataes podem atingir
diretamente a consecuo da misso da organizao, conforme indicado na
resposta do Respondente 3 quanto questionado sobre a percepo deste aspecto:

Falhas na contratao e contrato podem resultar em solues de TI que

no atendem s necessidades da organizao, que no funcionam
devidamente por incompatibilidade com a infraestrutura interna ou que
param de funcionar aps fim de contrato no renovado, o que pode pr em
risco a prestao de servios e a confiabilidade da organizao. Essas so
possibilidades reais.

Quando as contrataes so realizadas sem planejamento, a probabilidade

de falhas altssimo e elas podem ocorrer durante a fase de instalao,
68

implantao, customizao e, principalmente, a sustentao. Considerando

somente a sustentao, observa-se que uma falha pode significar uma
soluo sem suporte [e com impactos imensurveis no negcio]. Nesse
sentido, observa-se que a confiabilidade poder ser comprometida diante
duma soluo sem sustentao.

Ainda existem alguns ajustes a serem feitos entre as reas administrativas, de

TI e requisitante, justamente pela interao necessria entre os integrantes
indicados de cada uma destas. A compreenso, de que estas reas devem trabalhar
juntas desde a concepo da demanda pela contratao da soluo ainda no
clara. Assim, no alcana-se o objetivo maior da formao da equipe de
planejamento que garantir que o projeto de contratao seja eficiente e eficaz,
resolvendo pendncias que podem ser sanadas por meio da integrao destas
reas. Este fato pode ser verificado em um dos argumentos do Respondente 1,
quando o mesmo afirma que o processo de contratao ainda incipiente:

No h envolvimento do integrante administrativo quando da emisso do

Documento de Oficializao da Demanda

Ou seja, no existe a percepo de que este trabalho em conjunto permite

que o planejamento da contratao obedea aos dispositivos legais, ao mesmo
tempo que atende aos requisitos tcnicos necessrios e demanda de negcio
relacionada, dando mais celeridade e efetividade s licitaes.
Quanto fase de seleo do fornecedor, como a maioria das decises
relativas abjudicao ou no de um objeto a um licitante so de responsabilidade
da rea de licitaes, pouco pode-se verificar a cerca do nvel de maturidade desta
fase. Foi possvel verificar apenas que, quando das licitaes relacionadas
solues de TI, tem sido nomeado um servidor da rea de TI a fim de integrar a
equipe tcnica de apoio a licitao.
Na Organizao OPF, pelo menos at entrada em vigor da IN 04/2010
SLTI/MPOG, era comum a prtica de o elaborador do termo de referncia ser
designado como fiscal do contrato. Hoje, mesmo com a indicao da referida
instruo normativa de que devem ser nomeados um fiscal tcnico, um
69

administrativo e um requisitante, o que se v na organizao que o servidor da

rea de TI tem muitos contratos cuja fiscalizao est sob sua solitria
responsabilidade. O mbito desta fiscalizao no se restringe a aspectos tcnicos
dos contratos, ficando a cargo deste as anlises de situaes fiscais da contratada,
a conferncia de notas fiscais, a verificao de validades de certides etc. O
agravante que isto tem ocorrido mesmo sendo vrias vezes apontado pelo TCU,
como por exemplo em TCU (2008), que a monitorao administrativa dos contratos
deve ser realizada por rea da organizao especializada para tal, com vistas a no
descumprir dispositivos legais relacionados aos contratos por displicncia ou
desconhecimento. Isso prejudica no s a administrao/fiscalizao do contrato,
como tambm a rea de TI, que fica restrita a este servio e sem fora de trabalho
suficiente para realizar os outros processos, projetos e planejamentos sob sua
responsabilidade.
Importante observar, que no foi possvel verificar se a IN 04/2010 tem
modificado este cenrio, visto que ainda no h nenhuma contrato resultante de
uma contratao elaborada desde o seu incio sob os normativos desta nova verso
da IN 04.
Quanto aos contratos analisados, pode-se observar que atendem ao que
estabelecido em SLTI (2008), como por exemplo, pelo fato de no especificarem a
quantidade de funcionrios para os servios objeto do contrato, mas sim apresentar
o objeto licitado e o volume demandado de cada servio, deixando a cargo da
licitante definir tal quantitativo.
Os contratos descrevem os servios executados, os modelos e melhores
prticas que devem ser adotados, como sero as solicitaes de servios, os
tempos para resoluo das demandas, as mtricas utilizadas para mensurar os
servios prestados e a qualidade da sua prestao, assim como a avaliao da
entrega do objeto, o modelo de fornecimento e as potenciais adequaes no
pagamento. Embora existam tais previses, foi verificado que em alguns casos,
mesmo detectando falhas em prestaes de servios, o fiscal no consegue realizar
glosas no pagamento do contratado, fato decorrente da ausncia de tais previses
na lista de infraes, o que denota que os critrios de anlise e avaliao dos
servios precisam ser melhor definidos quando do planejamento da contratao e
tambm da elaborao da minuta do contrato.
70

A analogia entre os dois contratos denota a mudana no processo de

contratao de solues de TI. No contrato 24/2008 no existia um plano de
sustentao nem uma anlise de riscos. Ou seja, as recomendaes feitas aos
rgos integrantes do Sistema de Administrao dos Recursos de Informao e
Informtica (SISP) tm sido seguidas pela ORGANIZAO OPF. Porm conforme
constatado no estudo de caso deste trabalho, precisa-se aumentar o grau de
maturidade deste processo e, para isso medidas e planejamentos estratgicos,
como o plano diretor de TI e uma poltica de segurana da informao, so
elementos crticos.
Quanto a requisitos de segurana da informao quando dos contratos com
terceiros, observa-se algum nvel de maturidade na sua especificao. As
recomendaes da Instruo Normativa 04 do Ministrio do Planejamento,
Oramento e Gesto so seguidas.
So estabelecidos alguns requisitos de segurana da informao para as
contrataes, alm de realizada uma anlise dos riscos, ainda que incipiente, das
contrataes, caso-a-caso.
Existem algum nvel de controle acerca dos logins dos terceirizados, visto que
estes so desativados automaticamente quando do encerramento dos contratos e
que estes s so criados quando solicitados pelos fiscais responsveis pelo contrato
ao qual o funcionrio a ser cadastrado est vinculado.
Ocorre que embora sejam traados os requisitos, previstos termos de sigilo e
outros instrumentos para promover o acesso seguro s informaes da
Organizao, o acesso, por parte de funcionrios terceirizados, s informaes
organizacionais ainda pouco controlado. No existe um processo estruturado pelo
qual se defina todos os itens de segurana a serem observados quando das
contrataes de solues de TI.
Os contratos so avaliados segundo critrios objetivos, itens mensurveis por
meio das ordens de servios, alm das anotaes dos fiscais e gestores que
objetivam manter o nvel de servio conforme o acordado.
A documentao dos procedimentos e artefatos de responsabilidade das
contratadas abordada na maioria dos contratos, porm percebe-se que no existe
um controle efetivo sobre a frequncia e qualidade deste item. Tambm so
previstos processos de transferncia de conhecimento, porm estes ainda deixam a
desejar conforme anlise dos entrevistados, visto que no garantem por si s a
71

independncia de fato em relao s contratadas. A manuteno deste cenrio pode

por em risco a continuidade desses servios em caso de trmino do prazo dos
contratos ou rescises.
As respostas abaixo indicam o contexto relatado acima:

As entregas de servios so avaliadas segundo critrios objetivos de

mensurao, detalhados em acordos de nvel de servios. O processo de
transferncia de conhecimento, entretanto, apesar de abordado, ainda no
consegue garantir total independncia em relao s contratadas.

Existe acordo de confidencialidade, mas como no existe poltica de

segurana, seu efeito diminudo.

O tratamento costuma ser bastante superficial, sem verificao de

documentos e processos. Definio de requisitos de segurana na anlise
de viabilidade, definio de aes de encerramento contratual no plano de
sustentao (ex: revogao de acesso de integrantes da contratada) e
levantamento de riscos de segurana na anlise de riscos.

Na fase de planejamento de algumas contrataes boa parte das

propriedades so observadas, em razo da utilizao de ferramenta de
versionamento dos documentos, e a segurana da informao tem algumas
caractersticas sendo respeitadas atravs dos procedimentos j definidos,
porm sem uma poltica clara sobre o assunto.

A falta de uma poltica de segurana da informao, de um processo de

conscientizao e de capacitao nesta rea so agravantes que se somam a
estrutura j descrita acima. Assim de se esperar que, pelo fato de a segurana da
informao ainda no ser tratada como estratgica pela organizao, que em suas
contrataes esta questo siga a mesma linha.
Diante deste contexto, observa-se que a segurana da informao nas
contrataes de solues de TI, assim como na organizao como um todo, tem
tratamento ad hoc e promovida por aes pontuais. Sem arcabouos documentais
e de planejamento, que expressem o apoio da alta administrao e caracterizem a
segurana da informao como uma responsabilidade de todos os colaboradores,
sem um plano diretor de TI (PDTI) e sem um processo claro de contrataes de
solues de TI, que envolva todas as reas (administrativa, de tecnologia da
72

informao e demandante) de forma efetiva, dificilmente possvel fazer algo que v

alm de controles especficos tratados caso a caso. Espera-se que, com a instituio
da equipe de elaborao do PDTI, que est trabalhando segundo a metodologia
proposta pelo TCU e pela SLTI/MPOG, e com a instituio do comit de TI, o novo
PDTI possa estar aderente aos objetivos estratgicos e misso da organizao, e
ajude na mudana deste cenrio.

5.2 Comentrios Finais

O estudo de caso realizado por este trabalho possibilitou vislumbrar, em meio
ao contexto das contrataes de solues de TI, o tratamento dado segurana da
informao no mbito da Organizao OPF. Os resultados obtidos foram analisados
neste captulo.
No captulo 6, so apresentadas as principais concluses deste trabalho,
relacionadas segurana da informao e s contrataes de solues de TI no
mbito da administrao pblica federal.
73

6 Concluses e Trabalhos Futuros

6.1 Concluses

Este trabalho teve como objetivo verificar qual o tratamento dado por uma
organizao segurana da informao em suas contrataes de solues de TI, ou
seja, analis-la quanto ao estabelecimento de controles que preservem a segurana
da informao em suas contrataes deste cunho.
Neste sentido foram analisados aspectos relacionados segurana da
informao e contratao de solues de TI na Organizao OPF.
Observou-se que a gesto da segurana da informao nesta organizao
uma questo ainda inicial, visto que os controles existentes so balizados por aes
pontuais e, em sua maioria, reativas, visto a falta de itens como uma poltica de
segurana da informao, poltica continuidade de negcios, gerenciamento de
riscos, gerenciamento de incidentes etc, que so fatores fundamentais a esse
processo.
pertinente que seja lanado, sobre a governana de segurana da
informao, maior ateno, visto que por meio desta que alinha-se a gesto de
segurana da informao a ser implementada aos negcios, misso e aos
objetivos da organizao.
Uma governana efetiva, alm de refletir o apoio da alta administrao
segurana da informao e prov recursos para esta questo, auxilia na
conscientizao dos stakeholders quanto importncia da segurana da informao
74

para a organizao OPF. imprescindvel que exista uma cultura de segurana da

informao por parte dos colaboradores e partes interessadas, assim, a segurana
da informao ser vista no como uma prtica parte das atividades da
organizao, mas como um elemento que deve compor todas elas.
Tambm foi possvel verificar que controles de segurana da informao
quando desprovidos de alguns fatores, como um processo institucionalizado de
gesto, a participao de todas as reas e a percepo da segurana da informao
como uma questo sistmica, tm sua eficcia reduzida, visto que estes acabam por
no contemplar as necessidades e requisitos especficos do negcio da
organizao.
Quanto ao processo de contratao de solues de TI, observou-se que a
organizao estudada tem seguido o recomendado pelas instrues normativas n
02 e n 04 da SLTI/MPOG, no entanto o processo ainda carece de mais maturidade
e formalizao. Os planejamentos da rea de TI precisam ser concebidos luz do
planejamento estratgico institucional, com vistas a suportar as necessidades do
negcio e tambm possibilitar a este novas tecnologias e abordagens. Para isso
artefatos como o plano diretor de TI so imprescindveis, pois estes balizam os
projetos a serem realizados pela rea de TI consoante e aderente a objetivos
institucionais planejados (necessidades de negcio).
Em relao especificamente ao trato dado segurana da informao quando
das contrataes de solues de TI, verificou-se que esta questo tratada de
forma superficial e tambm pontualmente. Este cenrio decorre principalmente da
falta de um processo definido e formalmente institudo para contrataes de
solues de TI, falhas no planejamento estratgico de TI, falta de um processo de
gesto de segurana da informao e de polticas que deixem claro que a questo
da segurana uma preocupao da alta administrao e que todos na organizao
so responsveis pela promoo desta prtica. Mais que isso, observou-se que se a
segurana da informao no tratada como questo crtica e estratgica pela
organizao, nos processos de contrataes de solues de TI, ela tende a ser
tratada da mesma forma.
75

6.2 Trabalhos Futuros

Trabalhos que tenham como objetivo propor documentos e polticas,

considerados como as linhas mestras para instituir a segurana da informao como
prtica institucional (ou mesmo que demonstrem a importncia e criticidade destes
elementos para este processo) apresentam-se como constructos importantes a
serem desenvolvidos e que vo ao encontro das necessidades atuais da
organizao.
Neste sentido, trabalhos que contemplem a elaborao de um plano de
gesto de continuidade, de um plano de capacitao em segurana da informao
para os colaboradores, ou que objetivem implementar um processo de gesto de
segurana da informao, de gesto de riscos de segurana da informao (que
sejam considerados em todos os processos e reas da organizao, como por
exemplo a contratao de solues de TI) e de contratao de solues de TI so
de extrema relevncia e criticidade tanto para a promoo da prtica da segurana
da informao nesta organizao, com tambm para a melhoria das contrataes de
solues de TI.
76

Referncias e Fontes Consultadas

ABNT - ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Tecnologia da

informao - Tcnicas de segurana - Cdigo de prtica para a gesto da
segurana da informao: ABNT NBR ISO/IEC 27002:2005. 2a. ed. Rio de
Janeiro, 2005.
ABNT - ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Tecnologia da
informao - Tcnicas de segurana - Sistemas de gesto de segurana da
informao - Requisitos: ABNT NBR ISO/IEC 27001:2006. 1a. ed. Rio de
Janeiro, 2006.
ABNT - ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Tecnologia da
informao - Tcnicas de segurana - Gesto de riscos de segurana da
informao - Requisitos: ABNT NBR ISO/IEC 27005:2008. Rio de Janeiro,
2008.
ALBERTS, C.; DOROFEE, A. Managing Information Security Risks: The OCTAVE
Approach. [S.l.]: Addison Wesley, 2002. 512 p.
ALEXANDRINO, M. Direito Administrativo Descomplicado. Forense, 1996.
AS/NZS - Autralian Standard and New Zealand Standards. AS/NZS 4360:2004-
RISK MANAGEMENT. Autralia / New Zealand, 2004.
BRASIL. Decreto-lei 200, de 25 de fevereiro de 1967: Dispe sbre a organizao
da Administrao Federal, estabelece diretrizes para a Reforma Administrativa
e d outras providncias. Braslia, 1967. Disponvel em:
http://www.planalto.gov.br/ccivil_03/Decreto-Lei/Del0200.htm. Acesso em:
Julho de 2011.
77

BRASIL. Lei 8.666, de 21 de junho de 1993: Institui normas para licitaes e

contratos da administrao pblica. Braslia, 1993. Disponvel em:
<http:www:planalto:gov:br/ccivil 03/leis/l8666cons.htm>. Acesso em: Julho de
2011.
BRASIL. Decreto No. 3.505, de 13 de junho de 2000: Institui a poltica de segurana
da informao nos rgos e entidades da administrao pblica federal.
Braslia, 2000. Disponvel em: <http:www:planalto:gov:br/ccivil
03/decreto/D3505:htm>. Acesso em: Julho de 2011.
BRASIL. Lei 10.520, de 17 de julho de 2002. Institui, no mbito da Unio, Estados,
Distrito Federal e Municpios, modalidade de licitao denominada prego, para
aquisio de bens e servios comuns, e d outras providncias.. Braslia, 2002.
Disponvel em: <HTTP:www.planalto.gov.br/ccivil_03/leis/2002/L10520.htm>.
Acesso em: Julho de 2011.
CRUZ, C. S. da. Governana de TI e Conformidade Legal no setor pblico: Um
Quadro Referencial Normativo para a contratao de servios de TI.
Universidade Catlica de Braslia. Braslia, 2008.
CRUZ, C. S. da; ANDRADE, E. L. P. de. FIGUEIREDO, R. M. da C. Processo de
Contratao de Servios de Tecnologia da Informao para Organizaes
Pblicas. MCT, 2011.
CVM - COMISSO DE VALORES MOBILIRIOS. Cartilha de Governana:
Recomendaes da CVM sobre governana corporativa. Rio de Janeiro: CVM,
2002.
DINIZ, F. L. R.; DINIZ, P. E. F. Avaliao preliminar da gesto de segurana da
informao em duas organizaes pblicas. Departamento de Cincia da
Computao - Universidade de Braslia, 2009.
DSIC DEPARTAMENTO DE SEGURANA DA INFORMAO E
COMUNICAES. Quadro da legislao relacionada segurana da informao.
Novembro de 2008. Disponvel em:
http://www.planalto.gov.br/gsi/cgsi/quadro_legislacao.htm. Acesso em: julho de
2011.
DSIC DEPARTAMENTO DE SEGURANA DA INFORMAO E
COMUNICAES. A segurana da Informao e Comunicaes na Administrao
Pblica Federal. Disponvel em:
HTTP://www.planalto.gov.br/gsi/palestra_dsic_cgsi.pdf. Acesso em: julho de 2011.
78

FAUSTINI, R. Poltica de segurana da informao. maio de 2010. Disponvel em:

<http://www.faustiniconsulting.com/artigo05.htm>. Acesso em: julho de 2011.
FERNANDES, Jorge Henrique Cabral. Sistemas, Informao e Comunicao:
GSIC050 (Notas de Aula). Curso de Especializao em Gesto da Segurana
da Informao e Comunicaes: 2009/2011. Departamento de Cincias da
Computao da Universidade de Braslia. 2010. 51 p.
FERNANDES, J. H. C. Metodologia de Pesquisas de Estudo de Caso no Programa
de Formao de Especialistas para o Desenvolvimento da Estratgia e
Metodologia Brasileira de Gesto de Segurana da Informao e comunicaes
PFEMBGSIC (Nota Tcnica). Campus Universitrio Darcy Ribeiro. Instituto
Central de Cincias, Fevereiro de 2010. 14 p.
FERNANDES, A. A.; ABREU, V. F.de . Implantando a Governana de TI - da
Estratgia Gesto de Processos e Servios. Rio de Janeiro: Brasport, 2006.
GUALBERTO, E. S. Um modelo de informaes para gerncia de riscos de
segurana da informao: aplicao em uma organizao pblica.
Departamento de Cincia da Computao - Universidade de Braslia, 2008.
GUALBERTO, E. S. Um estudo de caso sobre a gesto da segurana da informao
em uma organizao pblica. Departamento de Cincia da computao
Universidade de Braslia, 2010.
GSIPR- GABINETE DE SEGURANA INSTITUCIONAL DA PRESIDNCIA DA
REPBLICA. Instruo Normativa GSI No. 1, de 13 de junho de 2008 :
Disciplina a gesto de segurana da informao e comunicaes na
administrao pblica federal, direta e indireta, e d outras providncias.
Braslia, junho 2008. Publicada no DOU No. 115, de 18 Jun 2008 Seo 1.
Disponvel em: <http://dsic.planalto.gov.br/legislacaodsic>. Acesso em: julho de
2011.
HILLSON, D. When is a risk not a risk? Project Manager Today, 1(3):1516, 2007.
IBGC - INSTITUTO BRASILEIRO DE GOVERNANA CORPORATIVA. Acessado
em junho de 2011. http://www.ibgc.org.br .
IBGC - INSTITUTO BRASILEIRO DE GOVERNANA CORPORATIVA. Cdigo de
melhores Prticas de Governana Corporativa. So Paulo: IBGC, 2010.
IBGC - BRASILEIRO DE GOVERNANA CORPORATIVA. Guia de Orientao para
Gerenciamento de Riscos Corporativos. So Paulo: IBGC, 2007.
79

IRM INSTITUTE OF RISK MANAGEMENT: The Association of Insurance and Risk

Managers and National Forum for Risk Management in the Public Sector. A
Risk Management Standard. EUA: IRM, 2002.
ISO - INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC
13335 Guidelines for the management of IT Security. ISO, 2004.
ISO - INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC FDIS
27000 - Information Technology Security Techniques - Information Security
Management Systems Overview and Vocabulary. Switzerland , 2009.
ITGI - IT GOVERNANCE INSTITUTE. COBIT 4.1: Control Objectives / Management
Guidelines / Maturity Models. ITGI: USA, 2007.
LAMEIRA, V. J. Governana Corporativa. Rio de Janeiro: Forense Universitria,
2001.
NIEBUHR, J. de M. As vantagens da modalidade prego. Santa Catarina: 2010.
PIETRO, M. S. Z. D. Direito Administrativo. Atlas, 2010.
REZENDE, D. A. Engenharia de Software e Sistemas de Informao. Rio de Janeiro;
Brasport, 2005.
RODRIGUES, Roberto Wagner da Silva. Aquisio e Implementao, Entrega e
Suporte de Servios de TI: GSIC275 V.1.1. (Notas de Aula). Curso de
Especializao em Gesto da Segurana da Informao e Comunicaes:
2009/2011. Departamento de Cincias da Computao da Universidade de
Braslia. 2010. 46 p.
SMOLA, M. Gesto da segurana da informao: viso executiva da segurana da
informao. Elsevier, Rio de Janeiro, 2003.
SHITSUKA, D. Sistemas de Informao: Um Enfoque Computacional. Rio de janeiro:
Cincia Moderna, 2005.
SLTI - SECRETARIA DE LOGSTICA E TECNOLOGIA DA INFORMAO DO
MINISTRIO DO PLANEJAMENTO, ORAMENTO E GESTO. INSTRUO
NORMATIVA No. 2, DE 30 DE ABRIL DE 2008 : dispe sobre regras e
diretrizes para a contratao de servios continuados ou no. Braslia, abril
2008. Disponvel em:
<http://www.comprasnet.gov.br/legislacao/in/in02_30042008.htm>. Acesso em:
Agosto de 2011.
SLTI - SECRETARIA DE LOGSTICA E TECNOLOGIA DA INFORMAO DO
MINISTRIO DO PLANEJAMENTO, ORAMENTO E GESTO. INSTRUO
80

NORMATIVA No. 4, DE 12 DE NOVEMBRO DE 2010 : dispe sobre o

processo de contratao de Solues de Tecnologia da Informao pelos
rgos integrantes do Sistema de Administrao dos Recursos de Informao e
Informtica (SISP) do Poder Executivo Federal. Braslia, novembro 2010.
Disponvel em:
<http://www.governoeletronico.gov.br/biblioteca/arquivos/instrucao-normativa-
no-04-de-12-de-novembro-de-2010/download>. Acesso em: Agosto de 2011.
SLTI - SECRETARIA DE LOGSTICA E TECNOLOGIA DA INFORMAO DO
MINISTRIO DO PLANEJAMENTO, ORAMENTO E GESTO. Guia de Boas
Prticas em Contratao de Solues de TI. Braslia, 2011. Disponvel em:
<http://www.governoeletronico.gov.br/biblioteca/arquivos/guia-de-boas-praticas-
em-contratacao-de-solucoes-de-ti-versao-1-0-mcti>. Acesso em: Agosto de
2011.
TCU - TRIBUNAL DE CONTAS DA UNIO. Acrdo 786/2006-TCU-Plenrio: Novo
modelo de licitao e contratao de servios de informtica. Braslia, 2006.
Disponvel em: <http://contas.tcu.gov.br/portaltextual/ServletTcuProxy>. Acesso
em: agosto de 2011.
TCU - TRIBUNAL DE CONTAS DA UNIO. Acrdo 1.603/2008-TCU-Plenrio:
Levantamento acerca da Governana de Tecnologia da Informao na
Administrao Pblica Federal: Sumrios Executivos. Braslia, 2008. 48 p.
Disponvel em: <www.tcu.gov.br/fiscalizacaoti>. Acesso em: julho de 2011.
TCU - TRIBUNAL DE CONTAS DA UNIO. Licitaes e Contratos: Orientaes e
Jurisprudncia do TCU. Braslia, 2010.
TCU TRIBUNAL DE CONTAS DA UNIO. Acrdo 465/2011 TCU-Plenrio:
Relatrio de auditoria externa realizada na Organizao OPF. Disponvel em:
http://contas.tcu.gov.br/portaltextual/ServletTcuProxy. Acesso em: agosto de
2011.
UnB - Universidade de Braslia. curso de especializao em gesto da segurana da
informao e comunicaes, julho de 2010. Disponvel em:
http://selecao.cegsic.unb.br/. Acesso em: julho de 2011.
WEIL, P.; ROSS, J. W. Governana de TI - Tecnologia da Informao. So Paulo: M.
Books, 2005.
81

Apndice A Questionrios Aplicados

e Respostas

Instrumento de Pesquisa

Segurana da Informao e Contrataes de Solues de

Tecnologia da Informao (TI)

Utilizao dos dados e das informaes e Objetivo desta pesquisa

Os dados e informaes coletados por meio deste questionrio sero utilizados

exclusivamente para a pesquisa acadmica do curso de especializao em Gesto de
Segurana da Informao e Comunicaes ministrado pela Universidade de Braslia (UnB)
em parceria com o Gabinete de Segurana Institucional da Presidncia da Repblica (GSI-
PR). As informaes sero apresentadas sem identificao dos respondentes, tendo como
82

objetivo analisar/avaliar a questo da segurana da informao nos contratos de solues

de TI da Organizao OPF.

Desde j, agradece-se a colaborao no preenchimento deste.

Respondente 1
J atuou como: Fiscal tcnico do contrato e integrante tcnico da equipe de
planejamento de contratao.

Contrataes de Solues de TI
1. Como est estabelecido o processo de contrataes de solues de TI
no mbito da ORGANIZAO OPF? Ele se d de forma gerenciada e
repetvel ou ad hoc? Ele atende aos requisitos de compliance (tais
como as instrues normativas da SLTI/MPOG) aos quais est sujeito?
a. Como est estabelecido o processo de contrataes de solues de TI
no mbito da ORGANIZAO OPF?
i. O processo ainda incipiente diante de tais argumentos:
1. No h envolvimento do integrante administrativo quando
da emisso do Documento de Oficializao da Demanda,
como pode ser verificado nos seguintes processos de
contratao de 2010-2011:
a. Modernizao da infraestrutura de TIC;
b. Aquisio de soluo de ECM/SIGAD;
c. Aquisio de software para o portal da Organizao
OPF;
2. Os investimentos em TI so unicamente direcionados pela
rea de TI;
3. No existe um inventrio de necessidades de TI
(processos, pessoas, recursos e sistemas) que alinhe s
necessidades da rea-meio com os investimentos em TI.

b. Ele se d de forma gerenciada e repetvel ou ad hoc?

i. Embora tenha muito que evoluir, julga-se ser um processo
gerenciado to somente pelo simples fato da Organizao OPF
ser parte integrante do SISP e, consequentemente, ser obrigada
a realizar as contrataes nos moldes da IN04;

c. Ele atende aos requisitos de compliance (tais como as instrues

normativas da SLTI/MPOG) aos quais est sujeito?
i. Parcialmente, pois os padres governamentais como e-Ping, e-
Mag, dentre outros, constam nos planejamentos das
contrataes mas na prtica no so realizados.
83

2. Como so vistas ascontrataes de solues de TI na ORGANIZAO

OPF? H compreenso, dentro da organizao, da influncia destas no
cumprimento de sua misso?
a. No h compreenso da necessidade de se realizar os investimentos
em TI alinhados aos objetivos estratgicos da organizao. Essa
afirmativa se justifica pois no h Plano de Diretor de TI vigente para
este ano (2011). Outro aspecto que corrobora com a afirmao retro
est no fato das contrataes de TI serem projetos de iniciativa
unicamente da TI. Em sua maioria, as aquisies de TI pouco se
alinham com as necessidades das reas de negcio, como pode ser
verificado pela aquisio da ferramenta MS-Project, que nesta
contratao foi adquirido um quantitativo maior que o nmero de
servidores/funcionrios e no foi realizada estimativa para se mensurar
a relao necessidade-demanda.
b. Embora atualmente todos os frameworks de governana de TI afirmem
flagrantemente que quem deve direcionar os investimentos de TI a
rea-meio, na organizao percebe-se claramente a inverso dessa
boa prtica.

3. A alta administrao v as contrataes de solues de TI como

elemento estratgico da ORGANIZAO OPF? Como so vistos os
investimentos em solues de TI pela organizao? Esses
investimentos so associados aos resultados da organizao?
a. A alta administrao v as contrataes de solues de TI como
elemento estratgico da ORGANIZAO OPF?
i. Dificilmente, pois verificando o item 3.3.1, alnea b,do acrdo
465 do TCU, conclui-se que no h alinhamento estratgico;
segue descrio deste parecer:
1. b) embora haja previso de algumas contrataes de
servios e aquisies de equipamentos, no h
correlao entre tais iniciativas e os objetivos e
iniciativas estratgicas da Organizao OPF;

b. Como so vistos os investimentos em solues de TI pela

organizao?
i. Vistos apenas como uma ao da rea de TI;

c. Esses investimentos so associados aos resultados da organizao?

i. Negativo, pois so aes de TI no alinhadas ao negcio;

4. Como (ser) elaborado o Plano Diretor de TI (PDTI)? Ele est (ser)

alinhado aos objetivos estratgicos da organizao e a sua misso?
a. No histrico da Organizao OPF somente houve 2 PDTI.
b. O primeiro, com vigncia de 2009-2010 no houve qualquer
alinhamento (conforme j justificado nos questionamentos anteriores);
c. O segundo, que est em fase de elaborao, ser realizado com uma
metodologia que contemplar todas as recomendaes legais e
observaes de boas prticas de governana de TI (COBIT; ITIL;
MPS.BR; ISSO 25001 etc...);
84

5. Como as falhas em contrataes e contratos de solues de TI afetam a

prestao de servios e confiabilidade da organizao? Qual a relao
entre a eficincia da organizao e suascontrataes de solues de TI?
a. Como as falhas em contrataes e contratos de solues de TI afetam
a prestao de servios e confiabilidade da organizao?
i. Quando as contrataes so realizadas sem planejamento, a
probabilidade de falhas altssimo e elas podem ocorrer durante
a fase de instalao, implantao, customizao e,
principalmente, a sustentao. Considerando somente a
sustentao, observa-se que uma falha pode significar uma
soluo sem suporte [e com impactos imensurveis no negcio].
Nesse sentido, observa-se que a confiabilidade poder ser
comprometida diante duma soluo sem sustentao.

b. Qual a relao entre a eficincia da organizao e suas contrataes

de solues de TI?
i. Segundo COBIT 4.1, eficincia relaciona-se com a entrega da
informao atravs do melhor (mais produtivo e econmico) uso
dos recursos. Diante disso, quo mais planejada e aderente s
necessidade do negcio for uma contratao de soluo de TI,
maior ser a eficincia da organizao como um todo.
Segurana da Informao
6. A segurana da informao vista como questo crtica pela alta
administrao? Existe um programa de conscientizao organizacional
acerca deste assunto? Existe uma poltica de segurana da informao e
comunicaes instituda na organizao?

a. A segurana da informao vista como questo crtica pela alta

administrao?
i. No, conforme item 3.12 do Acrdo 465/2011;

b. Existe um programa de conscientizao organizacional acerca deste

assunto?
i. No, nunca ouvi falar;

c. Existe uma poltica de segurana da informao e comunicaes

instituda na organizao?
i. No, conforme item 3.12 do Acrdo 465/2011;

7. Existe um processo de gesto de segurana da informao baseado no

PDCA (Plan-Do-Check-Act)? E quanto aos riscos de segurana da
informao, existe um processo de gerenciamento?
a. Existe um processo de gesto de segurana da informao baseado no
PDCA (Plan-Do-Check-Act)?
i. No;

b. E quanto aos riscos de segurana da informao, existe um processo

de gerenciamento?
i. No, nem planejamento que tenha aes nesse sentido;
85

8. Existe um programa de gesto de continuidade de negcios? Existem

planos de gerenciamento de incidentes, de continuidade de negcios e
de recuperao de negcios?
a. Existe um programa de gesto de continuidade de negcios?
i. No;

b. Existem planos de gerenciamento de incidentes, de continuidade de

negcios e de recuperao de negcios?
i. No;

9. Existe uma poltica de controle de acesso? Existem procedimentos e

processos claramente definidos que especificam a atribuio e
revogao de acessos aos usurios dos sistemas, dos ativos de
informao e das informaes?
a. Existe uma poltica de controle de acesso?
i. Existe controle de acesso fsico e o controle lgico gerenciado
atravs de logs no servidor;

b. Existem procedimentos e processos claramente definidos que

especificam a atribuio e revogao de acessos aos usurios dos
sistemas, dos ativos de informao e das informaes?
i. No;

10. Existe inventrio dos ativos de TI? E classificao da informao? Existe

alguma iniciativa neste sentido?
a. Ambos de forma muito incipiente; somente em ambiente de teste e
nada em produo;

Segurana da Informao e Contrataes de Solues de TI

11. Durante a fase de planejamento da contratao de solues de TI
(Oficializao da demanda, anlise de viabilidade, plano de sustentao,
estratgia de contratao, anlise de riscos e elaborao do termo de
referncia/projeto Bsico), conforme definida pela IN 04 SLTI/MPOG,
como tratada a questo da segurana da informao no mbito da
ORGANIZAO OPF? So verificados documentos e processos que
visam manter as propriedades das informaes (integridade,
disponibilidade, confidencialidade, autenticidade etc)?
a. Embora essa verificao seja uma regra legal, ela ocorre de forma ad-
hoc;

12. Na fase gerenciamento do contrato de soluo de TI, existe a

preocupao com a monitorao contnua do respeito aos princpios,
processos, normas e procedimentos de segurana da informao
estabelecidos/seguidos pela organizao? Como feita esta avaliao?
Existe um processo bem-definido que indique esta gesto?
a. Absolutamente nada.

13. Tanto nos termos de referncia/editais, quanto nos contratos de

solues de TI, so explicitados os requisitos de segurana da
informao que devero ser seguidos pela licitante/contratada? Existem
86

acordos de confidencialidade, termos de cincia das polticas e

procedimentos de segurana da informao?
a. Sim, formalmente existe acordos, mas na prtica no so monitorados.

14. Durante a gesto dos contratos, so analisados/verificados controles

(atribuio, manuteno e revogao) de acessos?
a. Parcialmente;

15. As entregas de servios so analisadas/avaliadas criticamente segundo

critrios objetivos de mensurao? Os acordos de nvel de servios so
estabelecidos de maneira explicita (viabilizando a sua avaliao de
forma efetiva)? Existe um processo que define a transferncia de
conhecimento relacionado aos contratos para a organizao?
a. As entregas de servios so analisadas/avaliadas criticamente
segundo critrios objetivos de mensurao?
i. Parcialmente;
b. Os acordos de nvel de servios so estabelecidos de maneira explicita
(viabilizando a sua avaliao de forma efetiva)?
i. No;
c. Existe um processo que define a transferncia de conhecimento
relacionado aos contratos para a organizao?
i. Parcialmente;

Respondente 2
J atuou como: Fiscal tcnico, demandante e administrativo de contrato, como
integrante tcnico da equipe de planejamento de contratao e como gestor de
contrato.

Contrataes de Solues de TI
1. Como est estabelecido o processo de contrataes de solues de TI
no mbito da ORGANIZAO OPF? Ele se d de forma gerenciada e
repetvel ou ad hoc? Ele atende aos requisitos de compliance (tais
como as instrues normativas da SLTI/MPOG) aos quais est sujeito?
As novas contrataes esto aderentes ao disposto nas instrues
Normativas Ns 04 e 02 do MPOG.

2. Como so vistas ascontrataes de solues de TI na ORGANIZAO

OPF? H compreenso, dentro da organizao, da influncia destas no
cumprimento de sua misso?
As contrataes so consideradas importantes, mas ainda no so vistas
como estratgicas na consecuo das atribuies da Organizao OPF.

3. A alta administrao v as contrataes de solues de TI como

elemento estratgico da ORGANIZAO OPF? Como so vistos os
87

investimentos em solues de TI pela organizao? Esses

investimentos so associados aos resultados da organizao?
Esses investimentos so associados aos resultados da organizao?
No!

4. Como (ser) elaborado o Plano Diretor de TI (PDTI)? Ele est (ser)

alinhado aos objetivos estratgicos da organizao e a sua misso?
O PDTI em elaborao est considerando os objetivos estratgicos atuais,
alm de suas possveis alteraes que esto em estudo.

5. Como as falhas em contrataes e contratos de solues de TI afetam a

prestao de servios e confiabilidade da organizao? Qual a relao
entre a eficincia da organizao e suascontrataes de solues de TI?
Relao direta. Produtos e servios de TI ruins afetam fortemente as
atividades da Organizao OPF. A execuo de suas atividades est
baseada em sistemas desenvolvidos internamente.

Segurana da Informao
6. A segurana da informao vista como questo crtica pela alta
administrao? Existe um programa de conscientizao organizacional
acerca deste assunto? Existe uma poltica de segurana da informao e
comunicaes instituda na organizao?
No

7. Existe um processo de gesto de segurana da informao baseado no

PDCA (Plan-Do-Check-Act)? E quanto aos riscos de segurana da
informao, existe um processo de gerenciamento?
No

8. Existe um programa de gesto de continuidade de negcios? Existem

planos de gerenciamento de incidentes, de continuidade de negcios e
de recuperao de negcios?
No

9. Existe uma poltica de controle de acesso? Existem procedimentos e

processos claramente definidos que especificam a atribuio e
revogao de acessos aos usurios dos sistemas, dos ativos de
informao e das informaes?
Existe um procedimento de controle de acesso, mas sujeito falhas. No h
um processo formal descrito.

10. Existe inventrio dos ativos de TI? E classificao da informao? Existe

alguma iniciativa neste sentido?
Sim. No. No em implementao.

Segurana da Informao e Contrataes de Solues de TI

11. Durante a fase de planejamento da contratao de solues de TI
(Oficializao da demanda, anlise de viabilidade, plano de sustentao,
estratgia de contratao, anlise de riscos e elaborao do termo de
88

referncia/projeto Bsico), conforme definida pela IN 04 SLTI/MPOG,

como tratada a questo da segurana da informao no mbito da
ORGANIZAO OPF? So verificados documentos e processos que
visam manter as propriedades das informaes (integridade,
disponibilidade, confidencialidade, autenticidade etc)?
No

12. Na fase gerenciamento do contrato de soluo de TI, existe a

preocupao com a monitorao contnua do respeito aos princpios,
processos, normas e procedimentos de segurana da informao
estabelecidos/seguidos pela organizao? Como feita esta avaliao?
Existe um processo bem-definido que indique esta gesto?
No

13. Tanto nos termos de referncia/editais, quanto nos contratos de

solues de TI, so explicitados os requisitos de segurana da
informao que devero ser seguidos pela licitante/contratada? Existem
acordos de confidencialidade, termos de cincia das polticas e
procedimentos de segurana da informao?
Existe acordo de confidencialidade, mas como no existe poltica de
segurana, seu efeito diminudo.

14. Durante a gesto dos contratos, so analisados/verificados controles

(atribuio, manuteno e revogao) de acessos?
Sim

15. As entregas de servios so analisadas/avaliadas criticamente segundo

critrios objetivos de mensurao? Os acordos de nvel de servios so
estabelecidos de maneira explicita (viabilizando a sua avaliao de
forma efetiva)? Existe um processo que define a transferncia de
conhecimento relacionado aos contratos para a organizao?
No existe processo definido de transferncia de conhecimento. Os Contratos
estabelecem esta transferncia pontualmente, segundo cada caso. Os nveis
de servios so mensurados ao logo do contrato.

Respondente 3
J atuou como: integrante tcnico.

Contrataes de Solues de TI
1. Como est estabelecido o processo de contrataes de solues de TI
no mbito da ORGANIZAO OPF? Ele se d de forma gerenciada e
repetvel ou ad hoc? Ele atende aos requisitos de compliance (tais
como as instrues normativas da SLTI/MPOG) aos quais est sujeito?
Bom, h um processo definido pelo MPOG que idealmente deveramos
seguir. Mas na prtica, a meu ver, acabamos sendo mais orientados pelos
templates, que cada um preenche da forma que for mais conveniente.
Eventualmente, para tpicos mais problemticos, podemos utilizar o processo
do MPOG como referncia. Para mim, nosso processo est mais para ad
hoc... Quanto aos requisitos de compliance, o processo necessariamente
89

deve estar aderente IN n4, ou haver impedimentos por parte da

procuradoria.

2. Como so vistas ascontrataes de solues de TI na ORGANIZAO

OPF? H compreenso, dentro da organizao, da influncia destas no
cumprimento de sua misso?
Com certeza. Algumas delas so bastante importantes para o cumprimento
das misses da Organizao OPF, e existe a compreenso disso por parte
dos gestores. Inclusive o processo de contratao do MPOG sugere que as
necessidades de determinada contratao sejam vinculados com os objetivos
estratgicos da organizao, de forma a justificar a contratao.

3. A alta administrao v as contrataes de solues de TI como

elemento estratgico da ORGANIZAO OPF? Como so vistos os
investimentos em solues de TI pela organizao? Esses
investimentos so associados aos resultados da organizao?
Acho que sim, pois vemos grande empenho da alta administrao para que
contrataes importantes para cumprir determinados objetivos estratgicos
sejam concretizadas. Mas importante ressaltar que nem todas as
contrataes em que h esse empenho so to estratgicas assim. E que
esse empenho no se repete no aprimoramento da estrutura interna, com
aprimoramento do parque tecnolgico e a contratao de novos servidores,
por exemplo.

4. Como (ser) elaborado o Plano Diretor de TI (PDTI)? Ele est (ser)

alinhado aos objetivos estratgicos da organizao e a sua misso?
No tenho muitas informaes sobre como ele ser elaborado. Os trabalhos
j foram iniciados e parece que haver sim esse cuidado, de alinh-lo aos
objetivos estratgicos da organizao.

5. Como as falhas em contrataes e contratos de solues de TI afetam a

prestao de servios e confiabilidade da organizao? Qual a relao
entre a eficincia da organizao e suascontrataes de solues de TI?
Falhas na contratao e contrato podem resultar em solues de TI que no
atendem s necessidades da organizao, que no funcionam devidamente
por incompatibilidade com a infraestrutura interna ou que param de funcionar
aps fim de contrato no renovado, o que pode pr em risco a prestao de
servios e a confiabilidade da organizao. Essas so possibilidades reais.
Infelizmente no tenho nenhuma histria interessante para ilustrar o tema...

Segurana da Informao
6. A segurana da informao vista como questo crtica pela alta
administrao? Existe um programa de conscientizao organizacional
acerca deste assunto? Existe uma poltica de segurana da informao e
comunicaes instituda na organizao?
No, no e no. H um tempo atrs se falava dessa poltica de segurana,
mas ultimamente no tenho ouvido falar muito dela, sinal que no deve estar
to instituda assim...
90

7. Existe um processo de gesto de segurana da informao baseado no

PDCA (Plan-Do-Check-Act)? E quanto aos riscos de segurana da
informao, existe um processo de gerenciamento?
No e no.

8. Existe um programa de gesto de continuidade de negcios? Existem

planos de gerenciamento de incidentes, de continuidade de negcios e
de recuperao de negcios?
No, no, no...

9. Existe uma poltica de controle de acesso? Existem procedimentos e

processos claramente definidos que especificam a atribuio e
revogao de acessos aos usurios dos sistemas, dos ativos de
informao e das informaes?
No que eu saiba.

10. Existe inventrio dos ativos de TI? E classificao da informao? Existe

alguma iniciativa neste sentido?
No que eu saiba. Mas existes algumas iniciativas pontuais...

Segurana da Informao e Contrataes de Solues de TI

11. Durante a fase de planejamento da contratao de solues de TI
(Oficializao da demanda, anlise de viabilidade, plano de sustentao,
estratgia de contratao, anlise de riscos e elaborao do termo de
referncia/projeto Bsico), conforme definida pela IN 04 SLTI/MPOG,
como tratada a questo da segurana da informao no mbito da
ORGANIZAO OPF? So verificados documentos e processos que
visam manter as propriedades das informaes (integridade,
disponibilidade, confidencialidade, autenticidade etc)?
O tratamento costuma ser bastante superficial, sem verificao de
documentos e processos. Definio de requisitos de segurana na anlise de
viabilidade, definio de aes de encerramento contratual no plano de
sustentao (ex: revogao de acesso de integrantes da contratada) e
levantamento de riscos de segurana na anlise de riscos.

12. Na fase gerenciamento do contrato de soluo de TI, existe a

preocupao com a monitorao contnua do respeito aos princpios,
processos, normas e procedimentos de segurana da informao
estabelecidos/seguidos pela organizao? Como feita esta avaliao?
Existe um processo bem-definido que indique esta gesto?
No

13. Tanto nos termos de referncia/editais, quanto nos contratos de

solues de TI, so explicitados os requisitos de segurana da
informao que devero ser seguidos pela licitante/contratada? Existem
acordos de confidencialidade, termos de cincia das polticas e
procedimentos de segurana da informao?
Sim. Normalmente so definidos esse tipo de acordo e termo de cincia
91

14. Durante a gesto dos contratos, so analisados/verificados controles

(atribuio, manuteno e revogao) de acessos?
Esse tipo de controle costuma ser definido no plano de sustentao, como
ao de encerramento de contrato. Isso deveria ser feito, mas no sei como
funciona na prtica.

15. As entregas de servios so analisadas/avaliadas criticamente segundo

critrios objetivos de mensurao? Os acordos de nvel de servios so
estabelecidos de maneira explicita (viabilizando a sua avaliao de
forma efetiva)? Existe um processo que define a transferncia de
conhecimento relacionado aos contratos para a organizao?
A IN4 estabelece que devem ser estabelecidos SLAs, que devem ser
utilizados para avaliar a entrega de servios segundo critrios objetivos. Deve
ser definida tambm a forma de transferncia de conhecimento, no plano de
sustentao. Mas nenhum deles eu sei como so aplicados na prtica.

Respondente 4
J atuou como: integrante tcnico, integrante administrativo, fiscal tcnico e fiscal
administrativo.

Contrataes de Solues de TI
1. Como est estabelecido o processo de contrataes de solues de TI
no mbito da ORGANIZAO OPF? Ele se d de forma gerenciada e
repetvel ou ad hoc? Ele atende aos requisitos de compliance (tais
como as instrues normativas da SLTI/MPOG) aos quais est sujeito?
Ele est estabelecido com base no modelo de contrataes proposto pela
SLTI/MPOG. Porm vejo que embora existam templates com explicaes e
exemplos para elaborao, faz-se necessrio um processo definido que
institucionalize quais as prticas e procedimentos a serem adotados. Os
requisitos de compliance so atendidos, mais os planos de sustentao e a
anlise de riscos ainda so muito incipientes e superficiais, cumprindo o que
normatizado, mas falhando em sua efetividade.

2. Como so vistas ascontrataes de solues de TI na ORGANIZAO

OPF? H compreenso, dentro da organizao, da influncia destas no
cumprimento de sua misso?
Muitas das contrataes de grande vulto so vistas como necessrias ao
cumprimento dos objetivos da organizao, porm algumas s tm sua
importncia considerada quando acontecem falhas de disponibilidade.

3. A alta administrao v as contrataes de solues de TI como

elemento estratgico da ORGANIZAO OPF? Como so vistos os
investimentos em solues de TI pela organizao? Esses
investimentos so associados aos resultados da organizao?
vista em parte, talvez justamente pela falta de aderncia das solues de TI
implementadas s necessidades da organizao. A TI precisa estar
preparada para suportar o negcio da ORGANIZAO OPF, porm isso s
92

ocorrer de forma plena se o planejamento de TI for feito balizando-se pelo

planejamento estratgico institucional.

4. Como (ser) elaborado o Plano Diretor de TI (PDTI)? Ele est (ser)

alinhado aos objetivos estratgicos da organizao e a sua misso?
No existe PDTI em vigor, o primeiro e ltimo at ento cobria os anos de
2009 e 2010, mas no contemplava tudo que se recomenda e era pouco
alinhado aos objetivos estratgicos. O novo PDTI est em fase de
elaborao, e creio que desta vez atender ao recomendado, visto que a
coordenao da equipe de elaborao est sob responsabilidade de uma
equipe treinada para este fim.

5. Como as falhas em contrataes e contratos de solues de TI afetam a

prestao de servios e confiabilidade da organizao? Qual a relao
entre a eficincia da organizao e suas contrataes de solues de
TI?
Falhas deste tipo se refletem em no alcance aos objetivos da organizao e
no cumprimento, ou cumprimento parcial de sua misso. A relao
questionada, s produz a eficincia esperada, se as contrataes forem
planejadas com base no planejamento estratgico da organizao.

Segurana da Informao
6. A segurana da informao vista como questo crtica pela alta
administrao? Existe um programa de conscientizao organizacional
acerca deste assunto? Existe uma poltica de segurana da informao e
comunicaes instituda na organizao?
No
No
No

7. Existe um processo de gesto de segurana da informao baseado no

PDCA (Plan-Do-Check-Act)? E quanto aos riscos de segurana da
informao, existe um processo de gerenciamento?
No
No

8. Existe um programa de gesto de continuidade de negcios? Existem

planos de gerenciamento de incidentes, de continuidade de negcios e
de recuperao de negcios?
No
No
No

9. Existe uma poltica de controle de acesso? Existem procedimentos e

processos claramente definidos que especificam a atribuio e
revogao de acessos aos usurios dos sistemas, dos ativos de
informao e das informaes?
No
No
93

10. Existe inventrio dos ativos de TI? E classificao da informao? Existe

alguma iniciativa neste sentido?
Sim
No

Segurana da Informao e Contrataes de Solues de TI

11. Durante a fase de planejamento da contratao de solues de TI
(Oficializao da demanda, anlise de viabilidade, plano de sustentao,
estratgia de contratao, anlise de riscos e elaborao do termo de
referncia/projeto Bsico), conforme definida pela IN 04 SLTI/MPOG,
como tratada a questo da segurana da informao no mbito da
ORGANIZAO OPF? So verificados documentos e processos que
visam manter as propriedades das informaes (integridade,
disponibilidade, confidencialidade, autenticidade etc)?
No tratada de forma especfica no.

12. Na fase gerenciamento do contrato de soluo de TI, existe a

preocupao com a monitorao contnua do respeito aos princpios,
processos, normas e procedimentos de segurana da informao
estabelecidos/seguidos pela organizao? Como feita esta avaliao?
Existe um processo bem-definido que indique esta gesto?
No
No feita
No

13. Tanto nos termos de referncia/editais, quanto nos contratos de

solues de TI, so explicitados os requisitos de segurana da
informao que devero ser seguidos pela licitante/contratada? Existem
acordos de confidencialidade, termos de cincia das polticas e
procedimentos de segurana da informao?
Sim, isso apontado, porm carece de dispositivos como uma poltica de
segurana da informao para que tenham plena eficcia. Ou seja, hoje so
aes isoladas.

14. Durante a gesto dos contratos, so analisados/verificados controles

(atribuio, manuteno e revogao) de acessos?
Esse controle feito caso a caso, embora em alguns contratos sejam bem
planejado, em outros no necessariamente bem planejado.

15. As entregas de servios so analisadas/avaliadas criticamente segundo

critrios objetivos de mensurao? Os acordos de nvel de servios so
estabelecidos de maneira explicita (viabilizando a sua avaliao de
forma efetiva)? Existe um processo que define a transferncia de
conhecimento relacionado aos contratos para a organizao?
So avaliadas conforme mtricas e ANSs, e esses so bem divulgados e
aceitos por ambas as partes no contrato, que tem sua minuta divulgada no
edital. Porm a transferncia do conhecimento um ponto que tem que
melhorar, pois isso no feito de maneira gerenciada em um processo, mas
tratada caso a caso.
94

Respondente 5
J atuou como: integrante requisitante, fiscal tcnico e fiscal administrativo.

Contrataes de Solues de TI
1. Como est estabelecido o processo de contrataes de solues de TI
no mbito da ORGANIZAO OPF? Ele se d de forma gerenciada e
repetvel ou ad hoc? Ele atende aos requisitos de compliance (tais
como as instrues normativas da SLTI/MPOG) aos quais est sujeito?
Na Organizao OPF so adotados os procedimentos previstos na IN 04, da
SLTI/MPOG. Foi elaborado um modelo de contratao prprio para a
organizao, com base nesta norma. Atende, pois, aos requisitos da IN04.

2. Como so vistas ascontrataes de solues de TI na ORGANIZAO

OPF? H compreenso, dentro da organizao, da influncia destas no
cumprimento de sua misso?
Na Organizao OPF, embora ainda seja incipiente a viso da TI como
estratgica para a misso da instituio, crescente a conscientizao do
importante papel que a rea tem para o atendimento das metas finalsticas da
Organizao.

3. A alta administrao v as contrataes de solues de TI como

elemento estratgico da ORGANIZAO OPF? Como so vistos os
investimentos em solues de TI pela organizao? Esses
investimentos so associados aos resultados da organizao?
Sim, embora de forma incipiente, a alta administrao vem passando a ver as
contrataes de solues de TI como elementos estratgicos. Os
investimentos em TI so vistos como necessrios melhoria das atividades
estratgicas, embora em alguns casos se perceba a preferncia por outros
setores em detrimento da rea de TI. Alguns investimentos em TI so
associados aos resultados da organizao, outros no.
4. Como (ser) elaborado o Plano Diretor de TI (PDTI)? Ele est (ser)
alinhado aos objetivos estratgicos da organizao e a sua misso?
Foi feita uma portaria formando uma equipe formada por membros de vrios
setores para elaborao do PDTI. A ideia alinh-lo aos objetivos finalsticos
da organizao.

5. Como as falhas em contrataes e contratos de solues de TI afetam a

prestao de servios e confiabilidade da organizao? Qual a relao
entre a eficincia da organizao e suas contrataes de solues de
TI?
As falhas na contratao geram vrios problemas, desde brechas para a
efetiva fiscalizao dos contratos, aquisio de produtos/servios que no
atendem s necessidades reais da Organizao e consequente
comprometimento no nvel de qualidade nos servios de TI ofertados. Uma
vez que as contrataes na rea de TI geram consequncias nos demais
setores, a ineficincia dos servios de TI pode comprometer sensivelmente as
atividades da organizao como um todo.
95

Segurana da Informao
6. A segurana da informao vista como questo crtica pela alta
administrao? Existe um programa de conscientizao organizacional
acerca deste assunto? Existe uma poltica de segurana da informao e
comunicaes instituda na organizao?
No
No
No

7. Existe um processo de gesto de segurana da informao baseado no

PDCA (Plan-Do-Check-Act)? E quanto aos riscos de segurana da
informao, existe um processo de gerenciamento?
No
No

8. Existe um programa de gesto de continuidade de negcios? Existem

planos de gerenciamento de incidentes, de continuidade de negcios e
de recuperao de negcios?
No
No
No

9. Existe uma poltica de controle de acesso? Existem procedimentos e

processos claramente definidos que especificam a atribuio e
revogao de acessos aos usurios dos sistemas, dos ativos de
informao e das informaes?
Sim.
Sim, mas h muito o que se melhorar nesta rea.
10. Existe inventrio dos ativos de TI? E classificao da informao? Existe
alguma iniciativa neste sentido?
No sei se existe um inventrio nico dos ativos.
No sei se existe classificao da informao.
H, sim, iniciativas para se ter um inventrio.

Segurana da Informao e Contrataes de Solues de TI

11. Durante a fase de planejamento da contratao de solues de TI
(Oficializao da demanda, anlise de viabilidade, plano de sustentao,
estratgia de contratao, anlise de riscos e elaborao do termo de
referncia/projeto Bsico), conforme definida pela IN 04 SLTI/MPOG,
como tratada a questo da segurana da informao no mbito da
ORGANIZAO OPF? So verificados documentos e processos que
visam manter as propriedades das informaes (integridade,
disponibilidade, confidencialidade, autenticidade etc)?
A questo da segurana da informao em boa parte dos casos tratada
como secundria.
No so verificados documentos e processos visando manter a integridade,
confidencialidade e autenticidade da informao.
96

12. Na fase gerenciamento do contrato de soluo de TI, existe a

preocupao com a monitorao contnua do respeito aos princpios,
processos, normas e procedimentos de segurana da informao
estabelecidos/seguidos pela organizao? Como feita esta avaliao?
Existe um processo bem-definido que indique esta gesto?
No existe tal preocupao.
Na prtica no feita tal avaliao.
No existe um processo para definir esta gesto.

13. Tanto nos termos de referncia/editais, quanto nos contratos de

solues de TI, so explicitados os requisitos de segurana da
informao que devero ser seguidos pela licitante/contratada? Existem
acordos de confidencialidade, termos de cincia das polticas e
procedimentos de segurana da informao?
Algumas contrataes, pontualmente, referencial requisitos de segurana.
Em regra, as contrataes trazem acordos de confidencialidade para com os
prestadores de servio.

14. Durante a gesto dos contratos, so analisados/verificados controles

(atribuio, manuteno e revogao) de acessos?
Raramente so verificados.

15. As entregas de servios so analisadas/avaliadas criticamente segundo

critrios objetivos de mensurao? Os acordos de nvel de servios so
estabelecidos de maneira explicita (viabilizando a sua avaliao de
forma efetiva)? Existe um processo que define a transferncia de
conhecimento relacionado aos contratos para a organizao?
Nas contrataes mais recentes se percebe critrios mais objetivos para
mensurao da qualidade dos servios prestados.
Os acordos de nveis de servio, para algumas contrataes, so
estabelecidos de maneira explicita, em outras no.
Contratualmente existem clusulas em alguns contratos referenciando o
repasse de conhecimento.

Respondente 6
J atuou como: integrante administrativo e pregoeiro.

Contrataes de Solues de TI
1. Como est estabelecido o processo de contrataes de solues de TI
no mbito da ORGANIZAO OPF? Ele se d de forma gerenciada e
repetvel ou ad hoc? Ele atende aos requisitos de compliance (tais
como as instrues normativas da SLTI/MPOG) aos quais est sujeito?
As contrataes de TI ocorrem conforme estabelecido pela SLTI/MPOG.
H contrataes que ocorrem de forma repetvel (as de custeio, por exemplo)
e otras conforme demanda, mormente investimento.
A rea requisitante em consenso com a rea tcnica tendem a seguir as
orientaes da SLTI.
97

2. Como so vistas ascontrataes de solues de TI na ORGANIZAO

OPF? H compreenso, dentro da organizao, da influncia destas no
cumprimento de sua misso?
Na Organizao OPF, como em qualquer outro rgo, as solues de TI
formam o sistema basilar para o cumprimento da misso institucional. At
porque, como o mote da Organizao regular os servios pblico prestado
na setor X, no h como cobrar servio adequado, na forma da lei, se no
houver, ao menos, proximidade de equipamentos e servios de TI com os
utilizados pelas prestadoras de servio.

3. A alta administrao v as contrataes de solues de TI como

elemento estratgico da ORGANIZAO OPF? Como so vistos os
investimentos em solues de TI pela organizao? Esses
investimentos so associados aos resultados da organizao?
No h como separar estratgia de solues de TI, haja vista todo os
sistemas da Organizao passarem pela rea de TI. So vistos como
essenciais ao cumprimento da misso organizacional. Sim.

4. Como (ser) elaborado o Plano Diretor de TI (PDTI)? Ele est (ser)

alinhado aos objetivos estratgicos da organizao e a sua misso?
No sei informar, creio que a ADGI pode responder melhor.

5. Como as falhas em contrataes e contratos de solues de TI afetam a

prestao de servios e confiabilidade da organizao? Qual a relao
entre a eficincia da organizao e suas contrataes de solues de
TI?
As falhas na rea de TI podem ocasionar a descontinuidade dos servios no
mbito da Organizao. Como informado acima, torna-se difcil verificar
sucesso na misso organizacional sem os servios de TI e e automao.

Segurana da Informao
6. A segurana da informao vista como questo crtica pela alta
administrao? Existe um programa de conscientizao organizacional
acerca deste assunto? Existe uma poltica de segurana da informao e
comunicaes instituda na organizao?
No sei informar, creio que a ADGI pode responder melhor.

7. Existe um processo de gesto de segurana da informao baseado no

PDCA (Plan-Do-Check-Act)? E quanto aos riscos de segurana da
informao, existe um processo de gerenciamento?
No sei informar, creio que a ADGI pode responder melhor.

8. Existe um programa de gesto de continuidade de negcios? Existem

planos de gerenciamento de incidentes, de continuidade de negcios e
de recuperao de negcios?
No sei informar, creio que a ADGI pode responder melhor.

9. Existe uma poltica de controle de acesso? Existem procedimentos e

processos claramente definidos que especificam a atribuio e
98

revogao de acessos aos usurios dos sistemas, dos ativos de

informao e das informaes?
No sei informar, creio que a ADGI pode responder melhor.

10. Existe inventrio dos ativos de TI? E classificao da informao? Existe

alguma iniciativa neste sentido?
No sei informar, creio que a ADGI pode responder melhor.

Segurana da Informao e Contrataes de Solues de TI

11. Durante a fase de planejamento da contratao de solues de TI
(Oficializao da demanda, anlise de viabilidade, plano de sustentao,
estratgia de contratao, anlise de riscos e elaborao do termo de
referncia/projeto Bsico), conforme definida pela IN 04 SLTI/MPOG,
como tratada a questo da segurana da informao no mbito da
ORGANIZAO OPF? So verificados documentos e processos que
visam manter as propriedades das informaes (integridade,
disponibilidade, confidencialidade, autenticidade etc)?
No sei informar, creio que a ADGI pode responder melhor.

12. Na fase gerenciamento do contrato de soluo de TI, existe a

preocupao com a monitorao contnua do respeito aos princpios,
processos, normas e procedimentos de segurana da informao
estabelecidos/seguidos pela organizao? Como feita esta avaliao?
Existe um processo bem-definido que indique esta gesto?
Ao menos nos Editais de licitao h previso de procedimentos a serem
observados, inclusive sigilo, na fase de execuo.

13. Tanto nos termos de referncia/editais, quanto nos contratos de

solues de TI, so explicitados os requisitos de segurana da
informao que devero ser seguidos pela licitante/contratada? Existem
acordos de confidencialidade, termos de cincia das polticas e
procedimentos de segurana da informao?
Sim, inclusive com aplicao de sanes, Sfc.

14. Durante a gesto dos contratos, so analisados/verificados controles

(atribuio, manuteno e revogao) de acessos?
No sei informar, creio que a ADGI pode responder melhor.

15. As entregas de servios so analisadas/avaliadas criticamente segundo

critrios objetivos de mensurao? Os acordos de nvel de servios so
estabelecidos de maneira explicita (viabilizando a sua avaliao de
forma efetiva)? Existe um processo que define a transferncia de
conhecimento relacionado aos contratos para a organizao?
No sei informar, creio que a ADGI pode responder melhor.

Respondente 7
J atuou como: integrante tcnico, fiscal tcnico e fiscal administratvo.

Contrataes de Solues de TI
99

1. Como est estabelecido o processo de contrataes de solues de TI

no mbito da ORGANIZAO OPF? Ele se d de forma gerenciada e
repetvel ou ad hoc? Ele atende aos requisitos de compliance (tais
como as instrues normativas da SLTI/MPOG) aos quais est sujeito?
Est se tentando melhorar o processo, inclusive o mapeamento foi feito,
porm o meu sentimento de que ele ainda se d de forma ad hoc. A IN04
vem sendo seguida nas contrataes.

2. Como so vistas ascontrataes de solues de TI na ORGANIZAO

OPF? H compreenso, dentro da organizao, da influncia destas no
cumprimento de sua misso?
No h nenhuma compreenso pela organizao do valor das contrataes
de TI para o alcance do objetivo da Organizao OPF.

3. A alta administrao v as contrataes de solues de TI como

elemento estratgico da ORGANIZAO OPF? Como so vistos os
investimentos em solues de TI pela organizao? Esses
investimentos so associados aos resultados da organizao?
A alta administrao no d valor nenhum TI, nem tampouco s
contrataes de TI como elemento estratgico da Organizao OPF.

4. Como (ser) elaborado o Plano Diretor de TI (PDTI)? Ele est (ser)

alinhado aos objetivos estratgicos da organizao e a sua misso?
O PDTI est em processo de elaborao, sendo que o ltimo foi o do ano
2010. A organizao no possui objetivos estratgicos claros, sendo
utilizados principalmente os elencados no PGR.

5. Como as falhas em contrataes e contratos de solues de TI afetam a

prestao de servios e confiabilidade da organizao? Qual a relao
entre a eficincia da organizao e suas contrataes de solues de
TI?
Afetam gravemente

Segurana da Informao
6. A segurana da informao vista como questo crtica pela alta
administrao? Existe um programa de conscientizao organizacional
acerca deste assunto? Existe uma poltica de segurana da informao e
comunicaes instituda na organizao?
A SI no vista como questo crtica nem existe programa de
conscientizao. A confeco da PSI vem se arrastando h meses, e a
minuta existente ocorreu inclusive sem a participao da maioria dos
servidores da rea de TI.

7. Existe um processo de gesto de segurana da informao baseado no

PDCA (Plan-Do-Check-Act)? E quanto aos riscos de segurana da
informao, existe um processo de gerenciamento?
No existe processo de gesto de riscos.
100

8. Existe um programa de gesto de continuidade de negcios? Existem

planos de gerenciamento de incidentes, de continuidade de negcios e
de recuperao de negcios?
No tenho conhecimento de nenhum de tais planos na Organizao OPF.

9. Existe uma poltica de controle de acesso? Existem procedimentos e

processos claramente definidos que especificam a atribuio e
revogao de acessos aos usurios dos sistemas, dos ativos de
informao e das informaes?
Existe poltica de controle de acesso, porm a mesma tem falhas. Eu mesmo
j alertei a gerncia acerca de colaboradores que no mais esto na
organizao mas que continuam com login ativo.

10. Existe inventrio dos ativos de TI? E classificao da informao? Existe

alguma iniciativa neste sentido?
Houve um trabalho de classificao da informao. Com relao ao inventrio
de ativos, no saberia responder.

Segurana da Informao e Contrataes de Solues de TI

11. Durante a fase de planejamento da contratao de solues de TI
(Oficializao da demanda, anlise de viabilidade, plano de sustentao,
estratgia de contratao, anlise de riscos e elaborao do termo de
referncia/projeto Bsico), conforme definida pela IN 04 SLTI/MPOG,
como tratada a questo da segurana da informao no mbito da
ORGANIZAO OPF? So verificados documentos e processos que
visam manter as propriedades das informaes (integridade,
disponibilidade, confidencialidade, autenticidade etc)?
Se so tratados, desconheo.

12. Na fase gerenciamento do contrato de soluo de TI, existe a

preocupao com a monitorao contnua do respeito aos princpios,
processos, normas e procedimentos de segurana da informao
estabelecidos/seguidos pela organizao? Como feita esta avaliao?
Existe um processo bem-definido que indique esta gesto?
No existe processo nem a monitorao feita, ao meu ver.

13. Tanto nos termos de referncia/editais, quanto nos contratos de

solues de TI, so explicitados os requisitos de segurana da
informao que devero ser seguidos pela licitante/contratada? Existem
acordos de confidencialidade, termos de cincia das polticas e
procedimentos de segurana da informao?
Existem acordos, mas eles no so monitorados.

14. Durante a gesto dos contratos, so analisados/verificados controles

(atribuio, manuteno e revogao) de acessos?
Os acessos so controlados, porm falhas existem.

15. As entregas de servios so analisadas/avaliadas criticamente segundo

critrios objetivos de mensurao? Os acordos de nvel de servios so
estabelecidos de maneira explicita (viabilizando a sua avaliao de
101

forma efetiva)? Existe um processo que define a transferncia de

conhecimento relacionado aos contratos para a organizao?
No existe processo de transferncia de conhecimento, cada um a faz da
forma que acha melhor. As entregas so avaliadas seguindo critrios
existentes em cada contrato, no h padronizao. H contratos
extremamente lenientes, em que o fiscal tem pouqussimos instrumentos para
avaliar as entregas. Os SLA tambm so criados contrato a contrato, ou seja,
alguns ficam mais bem feitos do que outros.

Respondente 8
J atuou como: integrante tcnico, fiscal tcnico e fiscal administratvo.

Contrataes de Solues de TI
1. Como est estabelecido o processo de contrataes de solues de TI
no mbito da ORGANIZAO OPF? Ele se d de forma gerenciada e
repetvel ou ad hoc? Ele atende aos requisitos de compliance (tais
como as instrues normativas da SLTI/MPOG) aos quais est sujeito?
Ad hoc e atende aos requisitos de compliance.

2. Como so vistas ascontrataes de solues de TI na ORGANIZAO

OPF? H compreenso, dentro da organizao, da influncia destas no
cumprimento de sua misso?
Considero que so vistas como necessrias. Mas no existe real
compreenso da relao entre estas aquisies e a influncia no
cumprimento de sua misso.

3. A alta administrao v as contrataes de solues de TI como

elemento estratgico da ORGANIZAO OPF? Como so vistos os
investimentos em solues de TI pela organizao? Esses
investimentos so associados aos resultados da organizao?
No. Como obrigao. No.

4. Como (ser) elaborado o Plano Diretor de TI (PDTI)? Ele est (ser)

alinhado aos objetivos estratgicos da organizao e a sua misso?
Como obrigao. Creio que estar parcialmente alinhado aos objetivos
estratgicos da organizao e misso.

5. Como as falhas em contrataes e contratos de solues de TI afetam a

prestao de servios e confiabilidade da organizao? Qual a relao
entre a eficincia da organizao e suas contrataes de solues de
TI?
Afetam diretamente a prestao de servio e confiabilidade. No tenho
conhecimento da eficincia da organizao.

Segurana da Informao
6. A segurana da informao vista como questo crtica pela alta
administrao? Existe um programa de conscientizao organizacional
acerca deste assunto? Existe uma poltica de segurana da informao e
comunicaes instituda na organizao?
102

Nem um pouco. No. No.

7. Existe um processo de gesto de segurana da informao baseado no

PDCA (Plan-Do-Check-Act)? E quanto aos riscos de segurana da
informao, existe um processo de gerenciamento?
No. No.

8. Existe um programa de gesto de continuidade de negcios? Existem

planos de gerenciamento de incidentes, de continuidade de negcios e
de recuperao de negcios?
No. Esto iniciando agora.

9. Existe uma poltica de controle de acesso? Existem procedimentos e

processos claramente definidos que especificam a atribuio e
revogao de acessos aos usurios dos sistemas, dos ativos de
informao e das informaes?
No, No.

10. Existe inventrio dos ativos de TI? E classificao da informao? Existe

alguma iniciativa neste sentido?
No.No. Algo muito inicial.

Segurana da Informao e Contrataes de Solues de TI

11. Durante a fase de planejamento da contratao de solues de TI
(Oficializao da demanda, anlise de viabilidade, plano de sustentao,
estratgia de contratao, anlise de riscos e elaborao do termo de
referncia/projeto Bsico), conforme definida pela IN 04 SLTI/MPOG,
como tratada a questo da segurana da informao no mbito da
ORGANIZAO OPF? So verificados documentos e processos que
visam manter as propriedades das informaes (integridade,
disponibilidade, confidencialidade, autenticidade etc)?
No tratada. No.

12. Na fase gerenciamento do contrato de soluo de TI, existe a

preocupao com a monitorao contnua do respeito aos princpios,
processos, normas e procedimentos de segurana da informao
estabelecidos/seguidos pela organizao? Como feita esta avaliao?
Existe um processo bem-definido que indique esta gesto?
No. No feita. No.

13. Tanto nos termos de referncia/editais, quanto nos contratos de

solues de TI, so explicitados os requisitos de segurana da
informao que devero ser seguidos pela licitante/contratada? Existem
acordos de confidencialidade, termos de cincia das polticas e
procedimentos de segurana da informao?
So. Sim.

14. Durante a gesto dos contratos, so analisados/verificados controles

(atribuio, manuteno e revogao) de acessos?
Em parte.
103

15. As entregas de servios so analisadas/avaliadas criticamente segundo

critrios objetivos de mensurao? Os acordos de nvel de servios so
estabelecidos de maneira explicita (viabilizando a sua avaliao de
forma efetiva)? Existe um processo que define a transferncia de
conhecimento relacionado aos contratos para a organizao?
Sim. Sim. No formal.

Respondente 9
J atuou como:, fiscal tcnico e fiscal administrativo.

Contrataes de Solues de TI
1. Como est estabelecido o processo de contrataes de solues de TI
no mbito da ORGANIZAO OPF? Ele se d de forma gerenciada e
repetvel ou ad hoc? Ele atende aos requisitos de compliance (tais
como as instrues normativas da SLTI/MPOG) aos quais est sujeito?
D-se de forma ad hoc.
Atende em parte aos requisitos da IN04

2. Como so vistas ascontrataes de solues de TI na ORGANIZAO

OPF? H compreenso, dentro da organizao, da influncia destas no
cumprimento de sua misso?
No, as contrataes so feitas de acordo com as necessidades e
convenincias.

3. A alta administrao v as contrataes de solues de TI como

elemento estratgico da ORGANIZAO OPF? Como so vistos os
investimentos em solues de TI pela organizao? Esses
investimentos so associados aos resultados da organizao?
No, as contrataes so feitas de acordo com as necessidades e
convenincias.

4. Como (ser) elaborado o Plano Diretor de TI (PDTI)? Ele est (ser)

alinhado aos objetivos estratgicos da organizao e a sua misso?
Ainda no h PDTI.

5. Como as falhas em contrataes e contratos de solues de TI afetam a

prestao de servios e confiabilidade da organizao? Qual a relao
entre a eficincia da organizao e suas contrataes de solues de
TI?
As falhas afetam no no exerccio correto dos servios, acarretando assim
aumento dos gastos pblicos para adequao dos contratos.

Segurana da Informao
6. A segurana da informao vista como questo crtica pela alta
administrao? Existe um programa de conscientizao organizacional
acerca deste assunto? Existe uma poltica de segurana da informao e
comunicaes instituda na organizao?
No, a segurana e vista como crtica pela equipe operacional.
104

7. Existe um processo de gesto de segurana da informao baseado no

PDCA (Plan-Do-Check-Act)? E quanto aos riscos de segurana da
informao, existe um processo de gerenciamento?
No existe processo de gerenciamento dos riscos.
No, a segurana e vista como crtica pela equipe operacional.

8. Existe um programa de gesto de continuidade de negcios? Existem

planos de gerenciamento de incidentes, de continuidade de negcios e
de recuperao de negcios?
No existe plano de gesto de incidentes.
Os incidentes so resolvidos conforme demanda.

9. Existe uma poltica de controle de acesso? Existem procedimentos e

processos claramente definidos que especificam a atribuio e
revogao de acessos aos usurios dos sistemas, dos ativos de
informao e das informaes?
No existe gesto para controle de acesso.
Os acessos so retirados a media que os operadores se recordam de faz-lo.

10. Existe inventrio dos ativos de TI? E classificao da informao? Existe

alguma iniciativa neste sentido?
Existe inventrio parcial dos ativos.
No existe classificao da informao, tambm no existe iniciativa.

Segurana da Informao e Contrataes de Solues de TI

11. Durante a fase de planejamento da contratao de solues de TI
(Oficializao da demanda, anlise de viabilidade, plano de sustentao,
estratgia de contratao, anlise de riscos e elaborao do termo de
referncia/projeto Bsico), conforme definida pela IN 04 SLTI/MPOG,
como tratada a questo da segurana da informao no mbito da
ORGANIZAO OPF? So verificados documentos e processos que
visam manter as propriedades das informaes (integridade,
disponibilidade, confidencialidade, autenticidade etc)?
No h verificao dos documentos e processos.

12. Na fase gerenciamento do contrato de soluo de TI, existe a

preocupao com a monitorao contnua do respeito aos princpios,
processos, normas e procedimentos de segurana da informao
estabelecidos/seguidos pela organizao? Como feita esta avaliao?
Existe um processo bem-definido que indique esta gesto?
A preocupao nica e exclusivamente responsabilidade do fiscal do
contrato.
No h preocupao da corporao.

13. Tanto nos termos de referncia/editais, quanto nos contratos de

solues de TI, so explicitados os requisitos de segurana da
informao que devero ser seguidos pela licitante/contratada? Existem
acordos de confidencialidade, termos de cincia das polticas e
procedimentos de segurana da informao?
105

Existe um texto padro de exigncia mnima de segurana transcritos aos

termos de referncia.

14. Durante a gesto dos contratos, so analisados/verificados controles

(atribuio, manuteno e revogao) de acessos?
No h verificao.

15. As entregas de servios so analisadas/avaliadas criticamente segundo

critrios objetivos de mensurao? Os acordos de nvel de servios so
estabelecidos de maneira explicita (viabilizando a sua avaliao de
forma efetiva)? Existe um processo que define a transferncia de
conhecimento relacionado aos contratos para a organizao?
No existe processo de transferncia de conhecimento.
Alguns SLAs so estabelecidos.

Respondente 10
J atuou como:, fiscal tcnico e fiscal administrativo.

Contrataes de Solues de TI
1. Como est estabelecido o processo de contrataes de solues de TI
no mbito da ORGANIZAO OPF? Ele se d de forma gerenciada e
repetvel ou ad hoc? Ele atende aos requisitos de compliance (tais
como as instrues normativas da SLTI/MPOG) aos quais est sujeito?
O processo de contratao est totalmente alinhado com a IN04/2010

2. Como so vistas ascontrataes de solues de TI na ORGANIZAO

OPF? H compreenso, dentro da organizao, da influncia destas no
cumprimento de sua misso?
No. Infelizmente devido a deficincia da era de contrato, todas as
aquisies so tratadas sem nenhuma prioridade, inclusive as crticas de TI.

3. A alta administrao v as contrataes de solues de TI como

elemento estratgico da ORGANIZAO OPF? Como so vistos os
investimentos em solues de TI pela organizao? Esses
investimentos so associados aos resultados da organizao?
No. TI tanto no vista como estratgica que o setor subordinado a rea
meio (administrativa) da Organizao OPF. Sempre que ocorre
contingenciamento de oramento o da TI sempre um dos que reduzido.

4. Como (ser) elaborado o Plano Diretor de TI (PDTI)? Ele est (ser)

alinhado aos objetivos estratgicos da organizao e a sua misso?
Desconheo a existncia de PDTI. Caso exista o emsmo no divulgado
entre os colaboradores.

5. Como as falhas em contrataes e contratos de solues de TI afetam a

prestao de servios e confiabilidade da organizao? Qual a relao
entre a eficincia da organizao e suas contrataes de solues de
TI?
106

Impactam diretamente a prestao do servio. Dependendo da contratao

que seja atingida, pode prejudicar inclusive a prestao da atividade fim junto
a sociedade.

Segurana da Informao
6. A segurana da informao vista como questo crtica pela alta
administrao? Existe um programa de conscientizao organizacional
acerca deste assunto? Existe uma poltica de segurana da informao e
comunicaes instituda na organizao?
No vista como crtica. No existe programa de conscientizao. Os
colaboradores adotam aes e atitudes que expes a segurana da
informao no mbito da Organizao OPF. No existe poltica de segurana
na Organizao OPF e caso exista no foi divulgada entre os colaboradores.

7. Existe um processo de gesto de segurana da informao baseado no

PDCA (Plan-Do-Check-Act)? E quanto aos riscos de segurana da
informao, existe um processo de gerenciamento?
No existe.

8. Existe um programa de gesto de continuidade de negcios? Existem

planos de gerenciamento de incidentes, de continuidade de negcios e
de recuperao de negcios?
No existe.

9. Existe uma poltica de controle de acesso? Existem procedimentos e

processos claramente definidos que especificam a atribuio e
revogao de acessos aos usurios dos sistemas, dos ativos de
informao e das informaes?
No Sim. A criao de contas de acesso aos ativos de informao requer
procedimentos prvios de credenciamento para qualquer usurio.Todo e
qualquer processo de solicitao de login para os servidores da Organizao
OPF realizado via sistema SARH integrado com o RH. Para terceirizados, a
solicitao de login realizada pelo sistema SSG. Os logins so solicitados
somente aps cadastramento dos usurios, inclusive com foto, alm de outras
informaes como dados pessoais, enter outras.
Para os terceirizados uma situao chama ateno. Alm do cadastramento
bsico, necessrio informar a qual contrato o colaborador est vinculado. Ao
trmino do contrato automaticamente enviando pedido para cancelamento
do login. Este procedimento realizado inclusive para termos aditivos a
contratos existente, aumentando assim a segurana e controle dos logins
existentes.

10. Existe inventrio dos ativos de TI? E classificao da informao? Existe

alguma iniciativa neste sentido?
No existe inventrio e nenhuma iniciativa no assunto.
.
Segurana da Informao e Contrataes de Solues de TI
11. Durante a fase de planejamento da contratao de solues de TI
(Oficializao da demanda, anlise de viabilidade, plano de sustentao,
estratgia de contratao, anlise de riscos e elaborao do termo de
107

referncia/projeto Bsico), conforme definida pela IN 04 SLTI/MPOG,

como tratada a questo da segurana da informao no mbito da
ORGANIZAO OPF? So verificados documentos e processos que
visam manter as propriedades das informaes (integridade,
disponibilidade, confidencialidade, autenticidade etc)?
Este tpico no tratado na anlise de viabilidade.

12. Na fase gerenciamento do contrato de soluo de TI, existe a

preocupao com a monitorao contnua do respeito aos princpios,
processos, normas e procedimentos de segurana da informao
estabelecidos/seguidos pela organizao? Como feita esta avaliao?
Existe um processo bem-definido que indique esta gesto?
No existe

13. Tanto nos termos de referncia/editais, quanto nos contratos de

solues de TI, so explicitados os requisitos de segurana da
informao que devero ser seguidos pela licitante/contratada? Existem
acordos de confidencialidade, termos de cincia das polticas e
procedimentos de segurana da informao?
Sim, existe modelo de confidencialidade que anexo aos contratos. Mais sei
informar se a assinatura do mesmo efetivamente cobrada sua assinatura.

14. Durante a gesto dos contratos, so analisados/verificados controles

(atribuio, manuteno e revogao) de acessos?
No.

15. As entregas de servios so analisadas/avaliadas criticamente segundo

critrios objetivos de mensurao? Os acordos de nvel de servios so
estabelecidos de maneira explicita (viabilizando a sua avaliao de
forma efetiva)? Existe um processo que define a transferncia de
conhecimento relacionado aos contratos para a organizao?
Sim. So exaustivamente aferidos.

Respondente 11
J atuou como: gestor de contrato e integrante requisitante.

Contrataes de Solues de TI
1. Como est estabelecido o processo de contrataes de solues de TI
no mbito da ORGANIZAO OPF? Ele se d de forma gerenciada e
repetvel ou ad hoc? Ele atende aos requisitos de compliance (tais
como as instrues normativas da SLTI/MPOG) aos quais est sujeito?
Est estabelecido de forma gerenciada e repetvel, em linha com as previses
da IN-04. Com a atualizao da norma em 2010, o processo foi atualizado
para atender os requisitos de compliance das orientaes supervenientes.

2. Como so vistas ascontrataes de solues de TI na ORGANIZAO

OPF? H compreenso, dentro da organizao, da influncia destas no
cumprimento de sua misso?
108

H mais cobrana rea de TI do que compreensoda influncia das

contrataes no cumprimento de sua misso, em que peses o fato das reas
demandantes tambm necessitarem melhorar seus aspectos de governana.

3. A alta administrao v as contrataes de solues de TI como

elemento estratgico da ORGANIZAO OPF? Como so vistos os
investimentos em solues de TI pela organizao? Esses
investimentos so associados aos resultados da organizao?
A alta administrao v as contrataes de solues de TI como elemento
estratgico da ORGANIZAO OPF? Eu diria que ningum mais hoje em dia
pode se furtar de ter essa viso. Porm, a distncia entre o discurso e a
prtica pode no ser necessariamente curta.

4. Como (ser) elaborado o Plano Diretor de TI (PDTI)? Ele est (ser)

alinhado aos objetivos estratgicos da organizao e a sua misso?
Essa pergunta melhor respondida pelo ADGI.

5. Como as falhas em contrataes e contratos de solues de TI afetam a

prestao de servios e confiabilidade da organizao? Qual a relao
entre a eficincia da organizao e suas contrataes de solues de
TI?
A resposta pode ser resumida na afirmao de que TI como energia
eltrica: se faltar, o impacto negativo muito grande nas organizaes.
.
Segurana da Informao
6. A segurana da informao vista como questo crtica pela alta
administrao? Existe um programa de conscientizao organizacional
acerca deste assunto? Existe uma poltica de segurana da informao e
comunicaes instituda na organizao?
A segurana da informao no vista como questo crtica pela alta
administrao. A poltica de segurana da informao e comunicaes
instituda na organizao ainda incipiente.

7. Existe um processo de gesto de segurana da informao baseado no

PDCA (Plan-Do-Check-Act)? E quanto aos riscos de segurana da
informao, existe um processo de gerenciamento?
No, o tratamento ad hoc.

8. Existe um programa de gesto de continuidade de negcios? Existem

planos de gerenciamento de incidentes, de continuidade de negcios e
de recuperao de negcios?
No.

9. Existe uma poltica de controle de acesso? Existem procedimentos e

processos claramente definidos que especificam a atribuio e
revogao de acessos aos usurios dos sistemas, dos ativos de
informao e das informaes?
No existe uma poltica de controle de acesso. Os procedimentos que
especificam a atribuio e revogao de acessos aos usurios dos sistemas,
dos ativos de informao e das informaes so falveis.
109

10. Existe inventrio dos ativos de TI? E classificao da informao? Existe

alguma iniciativa neste sentido?
Existe sim inventrio dos ativos de TI.
.
Segurana da Informao e Contrataes de Solues de TI
11. Durante a fase de planejamento da contratao de solues de TI
(Oficializao da demanda, anlise de viabilidade, plano de sustentao,
estratgia de contratao, anlise de riscos e elaborao do termo de
referncia/projeto Bsico), conforme definida pela IN 04 SLTI/MPOG,
como tratada a questo da segurana da informao no mbito da
ORGANIZAO OPF? So verificados documentos e processos que
visam manter as propriedades das informaes (integridade,
disponibilidade, confidencialidade, autenticidade etc)?
A questo da segurana da informao no recebe tratamento estruturado
durante a fase de planejamento da contratao de solues de TI.

12. Na fase gerenciamento do contrato de soluo de TI, existe a

preocupao com a monitorao contnua do respeito aos princpios,
processos, normas e procedimentos de segurana da informao
estabelecidos/seguidos pela organizao? Como feita esta avaliao?
Existe um processo bem-definido que indique esta gesto?
No, o tratamento ad hoc.

13. Tanto nos termos de referncia/editais, quanto nos contratos de

solues de TI, so explicitados os requisitos de segurana da
informao que devero ser seguidos pela licitante/contratada? Existem
acordos de confidencialidade, termos de cincia das polticas e
procedimentos de segurana da informao?
Sim, mas a efetividade dos termos atualmente usados questionvel se
contrapostos aos demais aspectos envolvidos na questo, como
disponibilidade de quadro efetivo de TI.

14. Durante a gesto dos contratos, so analisados/verificados controles

(atribuio, manuteno e revogao) de acessos?
Sim.

15. As entregas de servios so analisadas/avaliadas criticamente segundo

critrios objetivos de mensurao? Os acordos de nvel de servios so
estabelecidos de maneira explicita (viabilizando a sua avaliao de
forma efetiva)? Existe um processo que define a transferncia de
conhecimento relacionado aos contratos para a organizao?
As entregas de servios so avaliadas segundo critrios objetivos de
mensurao, detalhados em acordos de nvel de servios. O processo de
transferncia de conhecimento, entretanto, apesar de abordado, ainda no
consegue garantir total independncia em relao s contratadas.

Respondente 12
J atuou como: integrante tcnico, fiscal tcnico e fiscal administrativo.
110

Contrataes de Solues de TI
1. Como est estabelecido o processo de contrataes de solues de TI
no mbito da ORGANIZAO OPF? Ele se d de forma gerenciada e
repetvel ou ad hoc? Ele atende aos requisitos de compliance (tais
como as instrues normativas da SLTI/MPOG) aos quais est sujeito?
Seguindo a instruo normativa 04. Gerenciada e repetvel. Sim.

2. Como so vistas ascontrataes de solues de TI na ORGANIZAO

OPF? H compreenso, dentro da organizao, da influncia destas no
cumprimento de sua misso?
Decididas pelas alta administrao da rea de TI. Possui certo nvel de
alinhamento estratgico.

3. A alta administrao v as contrataes de solues de TI como

elemento estratgico da ORGANIZAO OPF? Como so vistos os
investimentos em solues de TI pela organizao? Esses
investimentos so associados aos resultados da organizao?
Atualmente no. Visando interesses de alguns e no da organizao como
um todo.

4. Como (ser) elaborado o Plano Diretor de TI (PDTI)? Ele est (ser)

alinhado aos objetivos estratgicos da organizao e a sua misso?
Seguindo as boas prticas recomendadas pela SLTI/MPOG. Ser alinhado.

5. Como as falhas em contrataes e contratos de solues de TI afetam a

prestao de servios e confiabilidade da organizao? Qual a relao
entre a eficincia da organizao e suas contrataes de solues de
TI?
Desconheo. As solues de TI atendem de maneira satisfatria a
organizao.

Segurana da Informao
6. A segurana da informao vista como questo crtica pela alta
administrao? Existe um programa de conscientizao organizacional
acerca deste assunto? Existe uma poltica de segurana da informao e
comunicaes instituda na organizao?
No. No. No.

7. Existe um processo de gesto de segurana da informao baseado no

PDCA (Plan-Do-Check-Act)? E quanto aos riscos de segurana da
informao, existe um processo de gerenciamento?
No. No.

8. Existe um programa de gesto de continuidade de negcios? Existem

planos de gerenciamento de incidentes, de continuidade de negcios e
de recuperao de negcios?
No. No,

9. Existe uma poltica de controle de acesso? Existem procedimentos e

processos claramente definidos que especificam a atribuio e
111

revogao de acessos aos usurios dos sistemas, dos ativos de

informao e das informaes?
No. No,

10. Existe inventrio dos ativos de TI? E classificao da informao? Existe

alguma iniciativa neste sentido?
No. Tem sim.
.
Segurana da Informao e Contrataes de Solues de TI
11. Durante a fase de planejamento da contratao de solues de TI
(Oficializao da demanda, anlise de viabilidade, plano de sustentao,
estratgia de contratao, anlise de riscos e elaborao do termo de
referncia/projeto Bsico), conforme definida pela IN 04 SLTI/MPOG,
como tratada a questo da segurana da informao no mbito da
ORGANIZAO OPF? So verificados documentos e processos que
visam manter as propriedades das informaes (integridade,
disponibilidade, confidencialidade, autenticidade etc)?
No tratada. No.

12. Na fase gerenciamento do contrato de soluo de TI, existe a

preocupao com a monitorao contnua do respeito aos princpios,
processos, normas e procedimentos de segurana da informao
estabelecidos/seguidos pela organizao? Como feita esta avaliao?
Existe um processo bem-definido que indique esta gesto?
A CONTRADADA assina apenas um termo de sigilo.

13. Tanto nos termos de referncia/editais, quanto nos contratos de

solues de TI, so explicitados os requisitos de segurana da
informao que devero ser seguidos pela licitante/contratada? Existem
acordos de confidencialidade, termos de cincia das polticas e
procedimentos de segurana da informao?
Apenas diz sobre o termo de sigilo que dever ser assinado pela
CONTRATADA.

14. Durante a gesto dos contratos, so analisados/verificados controles

(atribuio, manuteno e revogao) de acessos?
No sei.
15. As entregas de servios so analisadas/avaliadas criticamente segundo
critrios objetivos de mensurao? Os acordos de nvel de servios so
estabelecidos de maneira explicita (viabilizando a sua avaliao de
forma efetiva)? Existe um processo que define a transferncia de
conhecimento relacionado aos contratos para a organizao?
Sim.
Sim.
Sim.
.
Respondente 13
J atuou como: integrante tcnico, integrante requisitante, fiscal tcnico e fiscal
administrativo.
112

Contrataes de Solues de TI
1. Como est estabelecido o processo de contrataes de solues de TI
no mbito da ORGANIZAO OPF? Ele se d de forma gerenciada e
repetvel ou ad hoc? Ele atende aos requisitos de compliance (tais
como as instrues normativas da SLTI/MPOG) aos quais est sujeito?
Ad hoc. Sim, ele atende a requisitos de compliance.
.
2. Como so vistas ascontrataes de solues de TI na ORGANIZAO
OPF? H compreenso, dentro da organizao, da influncia destas no
cumprimento de sua misso?
As contrataes so feitas objetivando resoluo de problemas existentes,
sendo que algumas acabam no refletindo a misso da organizao. Outro
fator relevante o desconhecimento da misso da Organizao por parte de
usurios e membros da TI.

3. A alta administrao v as contrataes de solues de TI como

elemento estratgico da ORGANIZAO OPF? Como so vistos os
investimentos em solues de TI pela organizao? Esses
investimentos so associados aos resultados da organizao?
A TI da Organizao ainda classificada como rea de apoio as rea
finalsticas, e no rea estratgica da organizao. Por esta razo as
estratgias so sempre vinculadas as necessidades dos requisitantes de
servios e produtos TI, descaracterizando sua importncia. Outro fator
importante forte conotao de despesa nos gastos com TI. E pouca
vinculao aos resultados da organizao.

4. Como (ser) elaborado o Plano Diretor de TI (PDTI)? Ele est (ser)

alinhado aos objetivos estratgicos da organizao e a sua misso?
Acredito que a motivao da equipe de elaborao do PDTI trabalhar uma
estratgia que abranja os objetivos estratgicos da organizao, porm
necessrio um grande comprometimento da organizao e um forte
patrocinador para que o processo seja executado adequadamente, sendo
assim pode ser um risco que aes do PDTI no estejam vinculados aos
objetivos estratgicos ou a misso, mesmo que de forma indireta.

5. Como as falhas em contrataes e contratos de solues de TI afetam a

prestao de servios e confiabilidade da organizao? Qual a relao
entre a eficincia da organizao e suas contrataes de solues de
TI?
A falta de definio clara e objetiva dos requisitos de negcio e tcnicos
interfere sobremaneira nas contrataes de TI, permitindo em muitos casos
que a contratao no se realize, ou que seja inadequada a necessidade real,
sendo assim o servios prestado pela TI invariavelmente afetado com alto
tempo de atendimento, aumento no gasto em razo de retrabalho, aditivao
de contratos equivocados, dentre outros, causando no usurio de TI falta de
confiabilidade e at resistncia a rea. Eficincia tem como uma de suas
muitas definies a realizao do mximo de servio possvel com o recurso
disponvel, as contrataes de TI devem buscar a obteno de eficincia e
efetividade pela organizao, porm algumas contrataes de TI tm sido
113

realizadas sem esta preocupao, motivada por estratgias de aumento de

recursos e oramento para a TI..

Segurana da Informao
6. A segurana da informao vista como questo crtica pela alta
administrao? Existe um programa de conscientizao organizacional
acerca deste assunto? Existe uma poltica de segurana da informao e
comunicaes instituda na organizao?
Acredito que a alta administrao tenha a percepo da importncia da
segurana da informao, porm a falta de priorizao evidencia o
desconhecimento quanto ao tema, dificultando a realizao de trabalho de
conscientizao, e dificultando o estabelecimento de poltica de segurana da
informao.

7. Existe um processo de gesto de segurana da informao baseado no

PDCA (Plan-Do-Check-Act)? E quanto aos riscos de segurana da
informao, existe um processo de gerenciamento?
A percepo de que exista um processo de gesto de segurana de
informao muito pequena, ficando restrita a aes espordicas definidas
por necessidades prementes. Quanto a gerenciamento dos riscos a
percepo similar, ou seja, a inexistncia de processo formal, porm com
aes pontuais para atender problemas paliativos que surgem.

8. Existe um programa de gesto de continuidade de negcios? Existem

planos de gerenciamento de incidentes, de continuidade de negcios e
de recuperao de negcios?
A grande maioria das aes so realizadas de forma isolada por definio dos
prprios responsveis pela execuo do servio, isso permite que se
identifique algumas aes sobre o tema, porm aes organizadas definidas
pela estratgia da TI ou da Organizao ainda no foi vislumbrada, para
nenhum dos temas.

9. Existe uma poltica de controle de acesso? Existem procedimentos e

processos claramente definidos que especificam a atribuio e
revogao de acessos aos usurios dos sistemas, dos ativos de
informao e das informaes?
Da mesma forma que a questo anterior (8) sabe-se da necessidade, e j
foram definidos alguns procedimento para este controle, porm a definio de
uma poltica definida ainda um carncia.

10. Existe inventrio dos ativos de TI? E classificao da informao? Existe

alguma iniciativa neste sentido?
possvel presumir que haja um inventrio de ativos de TI, porm o nvel e a
complexidade no so fceis de identificar.

Segurana da Informao e Contrataes de Solues de TI

11. Durante a fase de planejamento da contratao de solues de TI
(Oficializao da demanda, anlise de viabilidade, plano de sustentao,
estratgia de contratao, anlise de riscos e elaborao do termo de
114

referncia/projeto Bsico), conforme definida pela IN 04 SLTI/MPOG,

como tratada a questo da segurana da informao no mbito da
ORGANIZAO OPF? So verificados documentos e processos que
visam manter as propriedades das informaes (integridade,
disponibilidade, confidencialidade, autenticidade etc)?
Na fase de planejamento de algumas contrataes boa parte das
propriedades so observadas, em razo da utilizao de ferramenta de
versionamento dos documentos, e a segurana da informao tem algumas
caractersticas sendo respeitadas atravs dos procedimentos j definidos,
porm sem uma poltica clara sobre o assunto.

12. Na fase gerenciamento do contrato de soluo de TI, existe a

preocupao com a monitorao contnua do respeito aos princpios,
processos, normas e procedimentos de segurana da informao
estabelecidos/seguidos pela organizao? Como feita esta avaliao?
Existe um processo bem-definido que indique esta gesto?
As aes realizadas para identificao de falhas nos princpios, processo,
normas e procedimento so em grande maioria reativas, em razo de
problema e desconformidades encontradas. No h um processo de gesto
bem definido.

13. Tanto nos termos de referncia/editais, quanto nos contratos de

solues de TI, so explicitados os requisitos de segurana da
informao que devero ser seguidos pela licitante/contratada? Existem
acordos de confidencialidade, termos de cincia das polticas e
procedimentos de segurana da informao?
Uma parte destes requisitos so includos como respeito a normas, termos e
obrigaes.

14. Durante a gesto dos contratos, so analisados/verificados controles

(atribuio, manuteno e revogao) de acessos?
Sim, com base nas definies dos contratos.

15. As entregas de servios so analisadas/avaliadas criticamente segundo

critrios objetivos de mensurao? Os acordos de nvel de servios so
estabelecidos de maneira explicita (viabilizando a sua avaliao de
forma efetiva)? Existe um processo que define a transferncia de
conhecimento relacionado aos contratos para a organizao?
Em muito foi melhorado no estabelecimento de critrios objetivos de
mensurao, acordo de nvel de servio e transferncia de conhecimento,
porm ainda existem falhas na execuo em razo do baixo nmero de
servidores responsveis por estes trabalhos.
 115
Apndice B Objetivos de controle
mais relevantes
contrataes de solues de TI e da
segurana da informao.
Planejar e Organizar (PO)
PO 2 Definir a Arquitetura da Informao
PO 2.3 Esquema de Classificao da Informao
PO 3 Determinar as Diretrizes da Tecnologia
PO 3.1 Planejamento da Diretriz Tecnolgica
PO 3.4 Padres Tecnolgicos
PO 5 Gerenciar o Investimento em TI
PO 5.2 Priorizao dentro do Oramento de TI
PO 5.3 Oramento de TI
PO 9 Avaliar e Gerenciar os Riscos de TI
PO 9.1 Alinhamento da gesto de riscos de TI e de
Negcios
PO 9.2 Estabelecimento do Contexto de Risco
PO 9.3 Identificao de Eventos
PO 9.4 Avaliao de Risco
PO 9.5 Resposta ao Risco
PO 9.6 Manuteno e Monitoramento do Plano de Ao de
Risco
Entregar e Suportar (DS)
DS 1 Definir e Gerenciar Nveis de Servio
DS 1.1 Estrutura de Gesto de Nveis de Servio
DS 1.2 Definio de Servios
DS 1.3 Acordos de Nvel de Servio
DS 1.4 Acordos de Nvel Operacional
DS 1.5 Monitoramento e Relatrio de Realizaes de
Nvel de Servio
DS 1.6 Reviso dos Acordos de Nvel de Servio e
dos Contratos
DS 2 Gerenciar Servios de Terceiros
DS 2.1 Identificao do Relacionamento com Todos
os Fornecedores
DS 2.2 Gerenciamento de Relacionamento com
Fornecedores
DS 2.3 Gerenciamento de Riscos com Fornecedores
DS 2.4 Monitoramento de Desempenho de
Fornecedores
DS 3 Gesto de Capacidade e Desempenho
DS 3.1 Desempenho e Planejamento de Capacidade
relacionados s
Adquirir e Implementar (AI)
AI 1 Identificar as Solues Automatizadas
AI 1.1 Definio e Manuteno de
Requisitos Tcnicos e Funcionais de Negcio
AI 1.2 Relatrio de Anlise de Risco
AI 1.3 Estudo de Viabilidade e
Formulao de Aes Alternativas
AI 1.4 Deciso e Aprovao de
Requisitos e Estudo de Viabilidade
AI 4 Permitir Operao e Uso
AI 4.4 Transferncia de
Conhecimentos para Equipes de Operao e
Suporte
AI 5 Adquirir Recursos de TI
AI 5.1 Controle sobre Aquisies
AI 5.2 Gerenciamento de Contratos de
Fornecedores
Monitorar e Avaliar (ME)
ME 2 Monitorar e Avaliar os Controles Internos
ME 2.1 Monitoramento da Estrutura de
Controles Internos
ME 2.2 Reviso Gerencial
ME 2.3 Excees aos Controles
ME 2.4 Autoavaliao dos Controles
ME 2.5 Garantia dos Controles
Internos
ME 2.6 Controles Internos Aplicados a
Terceiros
ME 2.7 Aes Corretivas
 116

DS 3.2 Capacidade e Desempenho Atuais

DS 3.3 Capacidade e Desempenho Futuros
DS 3.4 Disponibilidade de Recursos de TI
DS 3.5 Monitoramento e Relatrios
DS 4 Garantir a Continuidade do Servio
DS 4.1 Estrutura de Continuidade
DS 4.2 Planos de Continuidade de TI
DS 4.3 Recursos Crticos de TI
DS 4.4 Manuteno do Plano de Continuidade de TI
DS 4.5 Teste do Plano de Continuidade de TI
DS 4.6 Treinamento do Plano de Continuidade de TI
DS 4.7 Distribuio do Plano de Continuidade
DS 4.8 Recuperao e Retomada dos Servios de TI
DS 4.9 Armazenamento de Cpias de Segurana em
Locais Remotos
DS 4.10 Reviso Ps-Retomada dos Servios
DS 5 Garantir a Segurana dos Sistemas
DS 5.1 Gerncia da Segurana de TI
DS 5.2 Plano de Segurana de TI
DS 5.3 Gerncia de Identidade
DS 5.4 Gerncia de Contas de Usurios
DS 5.5 Teste, Vigilncia e Monitoramento de
Segurana
DS 5.6 Definio de Incidente de Segurana
DS 5.7 Proteo da Tecnologia de Segurana
DS 5.8 Gesto de Chave Criptogrfica
DS 5.9 Preveno, Deteco e Correo de Software
Malicioso
DS 5.10 Segurana de Rede
DS 5.11 Comunicao de Dados Confidenciais
DS 12 Gerenciar o Ambiente Fsico
DS 12.1 Seleo do Local e Layout
DS 12.2 Medidas de Segurana Fsica
DS 12.3 Acesso Fsico
DS 12.4 Proteo contra Fatores Ambientais
DS 12.5 Gerenciamento de Instalaes Fsicas
117

Anexo A Principais Normativos

relacionados segurana da
informao aplicados APF

Principais normativos relacionados segurana da informao aplicados

Administrao Pblica Federal
Regulamento Assunto
Lei n 7.232, de 29 de outubro Dispe sobre a Poltica Nacional de Informtica, e
de 1984. d outras providncias.
Medida Provisria n 2.200-2, Institui a Infra-Estrutura de Chaves Pblicas
de 24 de agosto de 2001. Brasileira ICP-Brasil, transforma o Instituto
Nacional de Tecnologia da Informao em
autarquia, e d outras providncias.

Decreto n 3.505, de 13 de Institui a Poltica de Segurana da Informao nos

junho de 2000. rgos e entidades da Administrao Pblica
Federal.
Decreto n 3.996, de 31 de Dispe sobre a prestao de servios de
outubro de 2001. certificao digital no mbito da APF.
Decreto n 4.553, de 27 de Dispe sobre a salvaguarda de dados,
dezembro de 2002. informaes, documentos e materiais sigilosos de
interesse da segurana da sociedade e do Estado,
no mbito da Administrao Pblica Federal, e d
outras providncias.
Decreto n 5.772, de 08 de Institui na estrutura regimental do Gabinete de
maio de 2006. Segurana Institucional da Presidncia da
Repblica o Departamento de Segurana da
118

Informao e Comunicaes com diversas

atribuies na rea de segurana da informao e
comunicaes.
Instruo Normativa n 1 do Disciplina a Gesto de Segurana da Informao e
GSIPR, de 13 de junho de Comunicaes na Administrao Pblica Federal,
2008. direta e indireta, e d outras providncias.
Norma Complementar n Estabelece critrios e procedimentos para
01/IN01/DSIC/GSIPR, de 13 elaborao, atualizao, alterao, aprovao e
de outubro de 2008. publicao de normas complementares sobre
Gesto de Segurana da Informao e
Comunicaes, no mbito da Administrao
Pblica Federal, direta e indireta.
Norma Complementar n Define a metodologia de gesto de segurana da
002/IN01/DSIC/GSIPR, de 13 informao e comunicaes utilizada pelos rgos
de outubro de 2008. e entidades da APF, direta e indireta.
Norma Complementar n Estabelece diretrizes, critrios e procedimentos
003/IN01/DSIC/GSIPR, de 30 para elaborao, institucionalizao, divulgao e
de junho de 2009. atualizao da Poltica de Segurana da
Informao e Comunicaes (POSIC) nos rgos
e entidades da Administrao Pblica Federal,
direta e indireta - APF.
Norma Complementar n Estabelece diretrizes para o processo de Gesto
004/IN01/DSIC/GSIPR, de 14 de Riscos de Segurana da Informao e
de agosto de 2009. Comunicaes GRSIC nos rgos ou entidades
da Administrao Pblica Federal, direta e indireta
APF.
Norma Complementar n Disciplina a criao de Equipe de Tratamento e
005/IN01/DSIC/GSIPR, de 14 Resposta a Incidentes em Redes Computacionais
de agosto de 2009. ETIR nos rgos e entidades da Administrao
Pblica Federal, direta e indireta APF.
Norma Complementar n Estabelece diretrizes para Gesto de Continuidade
006/IN01/DSIC/GSIPR, de 11 de Negcios, nos aspectos relacionados
de novembro de 2009. Segurana da Informao e Comunicaes, nos
119

rgos e entidades da Administrao Pblica

Federal, direta e indireta APF.
Norma Complementar n Estabelece diretrizes para implementao de
007/IN01/DSIC/GSIPR, de 06 controles de acesso relativos Segurana da
de maio de 2010. informao e Comunicaes nos rgos e
entidades da Administrao Pblica Federal, direta
e indireta APF.
Norma Complementar n Disciplina o gerenciamento de Incidentes de
008/IN01/DSIC/GSIPR, de 19 Segurana em Redes de Computadores realizado
de agosto de 2010. pelas Equipes de Tratamento e Resposta a
incidentes de Segurana em Redes
Computacionais ETIR dos rgos e entidades da
Administrao Pblica Federal, direta e indireta
APF.
Instruo Normativa n 04 Dispe sobre o processo de contratao de
SLTI/MPOG, de 13 de Solues de tecnologia da Informao pelos
novembro de 2010 rgos integrantes do Sistema de Administrao
dos Recursos de Informao e informtica (SISP)
do Poder Executivo Federal.
Norma Complementar n Estabelece orientaes especficas para o uso de
009/IN01/DSIC/GSIPR, de 19 recursos criptogrficos como ferramenta de
de novembro de 2010. controle de acesso em Segurana da Informao e
Comunicaes, nos rgos ou entidades da
Administrao Pblica Federal, direta e indireta.