Grupo de Trabalho de Segurança da Informação – GT-SI

(Portarias 338/2018 e 449/2020 TSE)

TRE-AC – Clícia Quintela Freitas

TRE-ES – Alessandra Marques da Silva Thompson
TRE-MG – Luiz Gustavo Marques Florindo
TRE-MS – Marcelo Silva de Novaes
TRE-PB – Hanniery de Souza Freire
TRE-PE – Ricardo Macedo Baudel
TRE-PR – Juarez de Oliveira
TSE – Carlos Eduardo Miranda Zottmann
TSE – Kemeo Ramalho

Coordenação: Dra. Simone Trento (Juíza Auxiliar da Presidência do TSE)

PROPOSTA DE ESTRUTURA ORGANIZACIONAL PARA A SEGURANÇA DA

INFORMAÇÃO E CIBERSEGURANÇA NO ÂMBITO DA JUSTIÇA ELEITORAL

BRASÍLIA - 2021
EMENTA

1. O modelo atual de gestão da segurança da informação na

Justiça Eleitoral é altamente baseado em ações de comitês e
comissões.

2. Necessidade de readequação da estrutura de segurança da

informação na Justiça Eleitoral, a fim de que a instituição conte com
uma estrutura mínima para ações preventivas e reativas compatíveis
com os riscos que se apresentam, notadamente no pleito de 2022.

3. Recomendação de que os comitês e comissões se destinem

apenas a deliberar sobre ações de direcionamento estratégico, como
forma de integrar as partes interessadas.

4. Indicação de adoção da boa prática de que o Gestor ou a

Gestora de Segurança da Informação esteja lotado na alta gestão
(Presidência ou Diretoria), conte com apoio técnico e administrativo e
seja dedicado às funções de governança corporativa e gestão da
segurança da informação.

5. Conveniência da existência de unidade própria dentro da

Secretaria de Tecnologia da Informação, que se reporte diretamente
ao Secretário ou Secretária, com apoio técnico e administrativo,
dedicada à cibersegurança, ou seja, a promover ações no contexto da
TI que conduzam à defesa do ambiente tecnológico contra ataques
cibernéticos.

6. Sugestão de quantitativo na composição dos apoios técnico e

administrativo de acordo com o porte de cada Tribunal (Tabela p. 23).

2
 1. Introdução

O grupo de trabalho de Segurança da Informação da Justiça

Eleitoral (GT-SI), criado pela portaria TSE nº 338, de 9 de abril de 2018,
alterada pela portaria TSE nº 499, de 7 de julho de 2020, é composto por
profissionais das áreas de segurança da informação e de gestão de
tecnologia da informação dos TREs do AC, ES, MG, MS, PB, PE, PR e TSE.
As atividades são coordenadas pela Exma. Dra. Simone Trento, Juíza
Auxiliar da Presidência do TSE.

O objetivo do grupo, conforme definido na Portaria que

determinou sua criação, é “assessorar a Administração do Tribunal na
implantação da Política de Segurança da Informação, nos termos da
Resolução TSE nº 23.501, de 19 de dezembro de 2016, no âmbito da
Justiça Eleitoral". (grifo nosso)

Dentre as atribuições específicas do grupo, também definidas

pela citada Portaria, destacamos:

“IV - prestar apoio e orientação aos tribunais eleitorais na

implantação da Segurança da Informação”.

Em razão de tais atribuições, o grupo tem forte atuação e

inserção no ambiente organizacional, acompanha de perto as
dificuldades dos tribunais eleitorais e propõe soluções relativas à
segurança da informação, visando ao fortalecimento da Justiça
Eleitoral.

Como resultado desse acompanhamento, bem como da

observação do recrudescimento das ameaças e da frequência de
ataques cibernéticos, o grupo chegou ao consenso de que é
imprescindível evoluir o atual padrão adotado pelos tribunais eleitorais.

O que se propõe é uma mudança de modelo de gestão da

segurança da informação, em geral, e de segurança cibernética, em
particular, fortemente baseado na atuação de comitês e comissões,
para um modelo que contemple a criação e a atuação de equipes
especializadas nas atividades contínuas que se fazem necessárias,
mantendo sob a responsabilidade dos comitês e comissões,
principalmente, as ações de direcionamento estratégico quanto às
iniciativas que devem ser adotadas pelos respectivos tribunais em
relação ao tema.

3
 Uma inadequada gestão da segurança da informação amplifica
os riscos a que naturalmente as atividades da Justiça Eleitoral estão
sujeitas, colocando-a numa clara posição de fragilidade frente ao atual
cenário de ameaças cibernéticas.

Visando à evolução do modelo de gestão da segurança da

informação praticado pela Justiça Eleitoral, apresentamos,
respeitosamente, a presente proposta de estrutura organizacional que,
se adotada de forma tempestiva, poderá gerar resultados já para as
eleições de 2022.

Para a concepção dessa proposta, foram considerados o modelo

fortemente hierarquizado seguido pela Administração Pública, os
cenários atual e futuro de ameaças, as boas práticas internacionais
referentes ao tema, bem como a conformidade com a Estratégia
Nacional de Tecnologia da Informação do Poder Judiciário (ENTIC-JUD -
Res. CNJ nº 370/2021) e com a Estratégia Nacional de Segurança
Cibernética do Poder Judiciário (ENSEC-JUD – Res. CNJ nº 396/2021).

2. Motivação

A Justiça Eleitoral dispõe, atualmente, de uma Política de

Segurança da Informação (PSI), instituída pela Resolução TSE nº
23.501/2016, que define, em seu Capítulo V, uma estrutura mínima para
o tema, a ser observada pelos diversos tribunais eleitorais:

“Art. 22. Deverá ser constituída, no âmbito dos Tribunais Eleitorais,

Comissão de Segurança da Informação, subordinada à
Presidência do Tribunal, composta, no mínimo, por representantes
da Presidência, da Corregedoria, da Diretoria-Geral, de cada
Secretaria e da Assessoria de Comunicação Social ou da unidade
que desempenhe essa atividade.

...

Art. 25. Deverá ser nomeado um Gestor de Segurança da

Informação, no âmbito de cada Tribunal Eleitoral, com as
seguintes responsabilidades:

...

4
 Art. 26. Deverá ser instituída uma ETIR1, conforme modelo proposto
pela Comissão de Segurança da Informação e aprovado pelo
Diretor-Geral da Secretaria do Tribunal, com a responsabilidade
de receber, analisar, classificar, tratar e responder às notificações
e atividades relacionadas a incidentes de segurança em redes de
computadores, além de armazenar registros para formação de
séries históricas como subsídio estatístico e para fins de auditoria.”
(grifos nossos)

Com efeito, todos os tribunais eleitorais instituíram tal estrutura, e

efetivamente contam com Comissões de Segurança da Informação
ativas e com Gestor de Segurança da Informação formalmente
designado.

A maioria dos Tribunais conta com ETIRs constituídas, porém, nem

todos tiveram oportunidade ou recursos necessários para
operacionalizá-las, conforme podemos observar pelo resultado da
pesquisa realizada por ocasião do 1º Encontro das ETIRs da Justiça
Eleitoral, ocorrido de forma virtual, em 22/09/2020:

1 ETIR: Equipe de Tratamento de Incidentes em Redes de Computadores

5
 Dos 18 (dezoito) respondentes, 6 (seis) afirmaram que suas ETIRs
ainda não se encontravam operacionais, situação em que se incluía o
próprio TSE. Quatorze reportaram que suas equipes não receberam
qualquer treinamento formal sobre tratamento de incidentes.

A situação se agrava quando observamos a pequena

quantidade de tribunais eleitorais que, além da estrutura mínima de
segurança recomendada pela PSI, contam com equipes dedicadas à
segurança da informação ou à segurança de TI. Tais equipes destinam-
se ao tratamento diuturno de questões ligadas ao tema. O
levantamento a respeito do nivelamento da situação de segurança da
informação na Justiça Eleitoral, realizado pelo GT-SI em 2020, reflete esta
realidade:

Apenas 9 (nove), dos 27 (vinte e sete) tribunais que responderam

ao levantamento, afirmaram dispor de equipes dedicadas ao tema. Isso
significa que os 19 (dezenove) restantes não dispõem de servidores
dedicados a estudar e a atuar sobre os assuntos relacionados à
segurança da informação e à cibersegurança, relegando-os a eventual
disponibilidade de tempo dos profissionais que têm por atribuição a
concepção, o projeto a administração e a sustentação dos ambientes
de tecnologia da informação. Cabe ressaltar que, mesmo no caso dos
tribunais em que há equipes dedicadas à segurança a informação,
essas são subdimensionadas.

A ausência de profissionais e de equipes com atribuições formais

voltadas à segurança da informação mostra-se incompatível com a
relevância do assunto. A quantidade de ataques cibernéticos
realizados vem crescendo anualmente, bem como sua complexidade e
impacto. Adicionalmente, os órgãos dos três poderes do Estado vêm
sendo cada vez mais selecionados como alvo dos ciber atacantes.

6
 As estatísticas do Centro de Tratamento e Resposta a Incidentes
Cibernéticos do Governo (CTIR.Gov), evidenciam um número crescente
de notificações de incidentes de segurança, ano a ano.

Como exemplos práticos da incidência de ataques cibernéticos

sobre órgãos públicos em tempos recentes, especificamente a partir do
mês de novembro de 2020, podemos citar:

 Acesso e exposição indevidos de dados administrativos do

próprio TSE, na data do primeiro turno das eleições municipais
de 2020 (15/11/20)2;
 Ataque 3 de negação de serviço 4 que inviabilizou o uso do
sistema de justificativa e de consulta a local de votação no dia
do primeiro turno da eleição de 20205;

2 https://g1.globo.com/politica/eleicoes/2020/noticia/2020/11/15/tentativa-de-
ataque-a-sistema-do-tse-partiu-de-diferentes-paises-diz-barroso.ghtml

7
  Ataque de ransomware6 ao STJ, que criptografou a totalidade
dos servidores virtuais daquele órgão, tornando-os inutilizáveis,
causando interrupção de todo o trabalho baseado em
tecnologia da informação, bem como suspensão de todos os
prazos processuais por, aproximadamente, uma semana;
 Ataque ao Tribunal Regional Federal da 1ª Região 7 , que
também interrompeu seus serviços de TI e os prazos processuais
por cerca de uma semana;
 Ataque à Biblioteca Nacional 8 que, da mesma forma, teve
seus serviços de TI interrompidos por 15 dias, até que fossem
restaurados com segurança;
 Ataque de ransomware ao Tribunal de Justiça do Rio Grande
do Sul 9 , ocorrido no último dia 28 de abril, que exigiu o
pagamento de resgate no valor de USD 5 milhões, ataque do
qual aquele tribunal continua se recuperando até o momento
da elaboração deste documento;
 Ataque ao STF – Supremo Tribunal Federal 10 , ocorrido nos
primeiros dias de maio de 2021, cujo foco foi o vazamento de
informações por meio de robôs que exploraram
vulnerabilidades em aplicações web. Esse ataque
indisponibilizou o portal web e muitos serviços por vários dias.

Além dos ataques a órgãos públicos, podemos destacar outros

que foram recentemente realizados com sucesso contra grandes
empresas ou contra soluções de tecnologia da informação largamente
comercializadas em escala mundial:

3 https://canaltech.com.br/hacker/tse-confirma-ataque-ddos-e-lembra-que-urnas-
nao-estao-conectadas-a-internet-174719/
4 https://thehack.com.br/tse-sofre-ataque-de-ddos-mas-garante-nao-ter-relacao-com-

vazamento-de-dados-e-queda-nos-servicos/
5 https://olhardigital.com.br/2020/11/24/noticias/app-e-titulo-foi-afetado-em-ataque-
ddos-durante-eleicao-confirma-tse/
6 https://www.kaspersky.com.br/resource-center/threats/ransomware
7 https://oglobo.globo.com/brasil/trf-1-confirma-ataque-de-hackers-portal-da-justica-
federal-do-df-13-estados-continua-fora-do-ar-24770628
8 https://oglobo.globo.com/cultura/site-da-biblioteca-nacional-volta-ao-ar-15-dias-
depois-de-ataque-hacker-24989055
9 https://thehack.com.br/tj-rs-e-vitima-do-ransomware-revil-gangue-pede-u-5-milhoes-
pelo-resgate/
10 https://g1.globo.com/politica/noticia/2021/05/07/supremo-investiga-tentativa-de-
ataque-hacker-a-sistema-da-corte.ghtml

8
  Infecção por malware11 de pacote de atualização de solução
de monitoramento de redes corporativas comercializado pela
empresa SolarWinds, que foi automaticamente instalado por
diversos de seus clientes, incluindo grandes empresas listadas
no ranking Fortune 500 e diversos dos principais órgãos públicos
norte-americanos, permitindo que os atacantes tivessem
acesso às redes corporativas desses clientes e pudessem obter
documentos internos, inclusive sigilosos12;
 Exploração de vulnerabilidades na solução de correio
eletrônico Microsoft Exchange13, utilizada por inúmeras grandes
empresas e órgãos públicos, no Brasil e no exterior, que
permitiu aos atacantes obterem acesso a caixas postais desses
clientes e, da mesma forma, obter documentos internos e
sigilosos;
 Ataque de ransomware14, a uma das empresas que compõem
a cadeia de suprimentos da Apple, em que os atacantes
obtiveram acesso e criptografaram documentos técnicos de
produtos ainda não lançados pela empresa, culminando em
uma exigência de pagamento de resgate de 50 milhões de
dólares para a restituição e não divulgação de tais
documentos.

Refletindo o cenário acima descrito, o relatório “The Global Risks

Report 2021”15, produzido pelo World Economic Forum, traz um gráfico
que representa, na opinião do público consultado, os principais riscos
de curto prazo que se espera ocorrerem a partir deste ano, sendo o
risco de falha de cibersegurança o quarto risco mais citado, conforme
se depreende do gráfico a seguir:

11 https://www.kaspersky.com.br/resource-center/preemptive-safety/what-is-malware-
and-how-to-protect-against-it
12 https://olhardigital.com.br/2021/02/15/noticias/solarwinds-ataque-foi-o-maior-e-mais-

sofisticado-que-o-mundo-ja-viu/

13 https://news.microsoft.com/es-xl/protegendo-servidores-exchange-on-premises-
contra-ataques-recentes/
14 https://cryptoid.com.br/banco-de-noticias/apple-foi-alvo-um-ataque-de-
ransomware-de-50-milhoes-resultando-em-vazamentos-esquematicos-sem-
precedentes/
15 https://www.weforum.org/reports/the-global-risks-report-2021

9
 O mesmo relatório mapeia os riscos que têm o potencial de atingir
Órgãos Gestores Eleitorais, bem como ressalta uma preocupação com
a polarização gerada pelo resultado das eleições estadunidenses do
ano de 2020 (em tradução livre, grifo nosso, p. 53 e 22):

“É provável que a próxima década testemunhe a disseminação mais frequente

e impactante de desinformação sobre questões de importância geopolítica,
como eleições, crises humanitárias, saúde pública, segurança e questões
culturais.”

“A polarização adicional gerada pelo resultado das eleições nos Estados

Unidos pode criar obstáculos internos para a nova administração, indenizando
compromissos financeiros, políticos, técnicos e de cooperação internacional
em questões globais como mudança climática, governança digital, livre
comércio e segurança internacional.”

Já no que toca a riscos de médio prazo, cuja expectativa de

ocorrência se concentra no período de 3 (três) a 5 (cinco) anos futuros,
o relatório traz (p.12) o risco ligado à “quebra de infraestruturas de tecnologia
da informação”, que afeta diretamente a Justiça Eleitoral, tanto com
relação às suas atividades diuturnas quanto com relação ao processo
de totalização das diversas eleições.

Para clarear os riscos envolvidos, cita-se o belo trabalho do

Instituto IDEA16, que mapeou as principais ameaças digitais que alvejam
processos eleitorais de vários países do mundo. A tabela a seguir foi
consolidada a partir do produto de registro formal de ataques
cibernéticos que alvejaram eleições de 20 (vinte) países e demonstra

16www.idea.int – INTERNATIONAL INSTITUTE FOR DEMOCRACY AND ELECTORAL

ASSISTANCE

10
quais ataques são dirigidos às eleições, bem como seu objetivo e sua
dinâmica.

Ataques Ataques Exploração de Desinformação/operações

cibernéticos cibernéticos vulnerabilidades contra a percepção da
genéricos - direcionados específicas da integridade eleitoral
processo eleitoral contra o processo eleição
pode ser alvo eleitoral
aleatório
Ataques de Vulnerabilidades Natureza periódica Vazamento de
negação de de dia zero18 das eleições informação confidencial
17
serviços
Desfiguração de Engenharia social, Dia da eleição Desinformação sobre
19
sites, manipulação phishing como ponto único tecnologias de eleição
do conteúdo de de falha
sites
Ataque cibernético Acesso e Usado apenas uma Desinformação sobre o
genérico ou manipulação de vez a cada poucos processo eleitoral
motivado por dados eleitorais anos, mas por
questões financeiras milhões de usuários
ou criminosas
Exploração de falta Ataque cibernético Recursos limitados Projetos de eleição não
de higiene a tecnologia para manter a entregues dentro do prazo
cibernética por ex.: eleitoral tecnologia
quebrando senhas utilizada nas
fracas eleições
Ataque por Procedimentos Desinformação como
atacante interno complexos, parte da campanha
frequentemente política
compartilhados
entre agências
diferentes
Adaptado de Tabela 2.1. - Espectro de ameaças cibernéticas relacionadas a eleições, (Wolf,
2019 p. 23)

17 Ataques de negação de serviços – são ataques que buscam derrubar sistemas

computacionais em funcionamento, utilizando estratégia de sobrecarregar o uso dos
ambientes computacionais.
18 Vulnerabilidades de dia zero – segundo (Zetter, 2017) em Contagem Regressiva Até

ZERO DAY, a vulnerabilidade de dia zero consiste em uma falha de segurança

descoberta e explorada em algum sistema computacional antes de sua correção por
parte do responsável pelo sistema.
19 Phishing – é uma estratégia utilizada por criminosos digitais para obter informações

pessoais ou dados financeiros de usuários de sistemas computacionais.

Segundo (Goodman, 2015 p. 146), “O termo “phishing” é a grafia dos hackers da
palavra “fishing”, e a técnica envolve persuadir um peixe inocente a morder a isca de
um link malicioso. Os grupos do crime organizado que executam o phishing tentam
fazer que os usuários cliquem em um link que os levam a um site falso controlado por
fraudadores. As mensagens de phishing chegam a nossas caixas de entrada via SMS,
tweets, mensagens instantâneas e atualizações de status do Facebook. Elas
supostamente vêm de nossos bancos, empresas de TV a cabo, planos de
aposentadoria, mídias sociais e operadoras de telefonia móvel e visam usuários em
todo o mundo...”

11
 Além do cenário preocupante acima descrito, é importante
destacar que a Justiça Eleitoral tem sido, ao longo dos anos,
questionada por atores representativos da sociedade acerca da
segurança do processo eleitoral. Embora tenhamos um dos sistemas de
votação mais sólidos e confiáveis do mundo, a segurança das
informações e do ambiente de TI da Justiça Eleitoral (JE) é fator
primordial para conferir credibilidade a tal processo. Um incidente de
segurança ocorrido em sistemas ou serviços digitais oferecidos pela JE,
mesmo que absolutamente desligado do processo eleitoral, tem o
condão de colocar em risco essa credibilidade.

Tomando como exemplo os principais incidentes de segurança

recentes acima citados, imaginemos a hipotética, mas plausível,
situação que envolva o vazamento de dados em massa do cadastro
eleitoral, ou em que um invasor consiga manipular o sistema de óbitos e
direitos políticos, permitindo a um candidato inapto registrar-se.
Imaginemos, ainda, que um funcionário terceirizado acesse
regularmente o sistema de cadastro para fornecer informações
privilegiadas no mercado negro. Ou, ainda, pensemos num ataque de
ransomware, às vésperas do pleito de 2022, em que todos os
computadores da Justiça Eleitoral amanheçam criptografados,
apresentando uma mensagem em sua tela de pedido de resgate para
a liberação de seus conteúdos. São situações extremas, mas
perfeitamente possíveis de ocorrer, caso os adequados controles não
sejam implementados, não apenas no TSE, mas em todos os tribunais
regionais. Ocorrências como essas colocariam em xeque todo o sistema
eleitoral e até mesmo a estabilidade do regime democrático de direito,
catalisando as forças contrárias aos princípios democráticos que
existem em nossa sociedade. Será que a Justiça Eleitoral manteria níveis
aceitáveis de credibilidade após um ataque cibernético do mesmo
nível de intensidade que o ocorrido no STJ em 2020?

À luz dos riscos acima citados, entendemos que a reputação

acerca da confiabilidade do sistema eletrônico de votação, a
segurança da informação e o ambiente corporativo de tecnologia da
informação em particular, incluindo a segurança das redes de
computadores, sistemas administrativos e judiciais, e dados pessoais,
devem receber atenção especializada, por meio de estruturas
funcionais com atribuição específica para o tema.

3. Situação atual

12
 Segurança da informação é um termo que se refere à proteção
de dados e informações, abrangendo a segurança física, os processos
de trabalho, as pessoas e, ainda, o ambiente tecnológico, cuja
proteção é comumente chamada de cibersegurança - palavra
derivada do termo em inglês cybersecurity. O objetivo primordial dessa
disciplina é garantir os pilares de Disponibilidade, Integridade,
Confidencialidade e Autenticidade (DICA), dos dados custodiados e
tratados por uma determinada instituição.

Conforme definido pela PSI da Justiça Eleitoral, no modelo

atualmente utilizado pela grande maioria dos tribunais eleitorais, a
gestão da segurança da informação está a cargo da Comissão de
Segurança da Informação, composta por representantes das diversas
áreas de negócio, inclusive a TI, porém, não possui autonomia funcional
específica. Dita comissão conta, formalmente, com o auxílio de um
Gestor de Segurança da Informação e de uma Equipe de Tratamento
de Incidentes (ETIR); no entanto, carece do auxílio de unidades
especializadas para a execução das atividades cotidianas.

Ainda de acordo com a PSI, as atribuições dos Gestores de

Segurança da Informação do TSE e dos TREs são as seguintes (art. 25):

“Art. 24. Caberá, especificamente, à Comissão de Segurança da

Informação do Tribunal Superior Eleitoral:

I - apresentar à alta administração do TSE proposta de revisão da PSI da

Justiça Eleitoral, no máximo a cada três anos, de modo a atualizá-la em
razão de novos requisitos corporativos de segurança;

II - avaliar e referendar proposições encaminhadas pelas Comissões de

Segurança da Informação dos Tribunais Regionais Eleitorais para
melhoria desta PSI;

III - propor modelos de normas, procedimentos, planos e/ou processos,

visando auxiliar a operacionalização desta política no âmbito dos
Tribunais Eleitorais;

IV - promover, em âmbito nacional, a divulgação desta PSI, bem como

ações para disseminar a cultura em segurança da informação.

Art. 25. Deverá ser nomeado um Gestor de Segurança da Informação,

no âmbito de cada Tribunal Eleitoral, com as seguintes
responsabilidades:

I - propor normas relativas à segurança da informação à Comissão de

Segurança da Informação;

13
 II - propor iniciativas para aumentar o nível da segurança da
informação à Comissão de Segurança da Informação, com base,
inclusive, nos registros armazenados pela ETIR;

III - propor o uso de novas tecnologias na área de segurança da

informação;

IV - implantar, em conjunto com as demais áreas, normas,

procedimentos, planos e/ou processos elaborados pela Comissão de
Segurança da Informação;

Parágrafo único. O Gestor de Segurança da Informação deverá ser

servidor que detenha amplo conhecimento dos processos de negócio
do Tribunal e do tema em foco.”

Observa-se que atividades específicas ou rotineiras tais como

análise de riscos, manutenção do sistema de gestão de segurança da
informação (SGSI), definição e acompanhamento de indicadores de
desempenho (KPIs), realização de campanhas de conscientização,
assessoramento em segurança da informação ao encarregado pelo
tratamento de dados pessoais, resposta a auditorias internas e externas,
dentre outras, não foram distribuídas como atribuições específicas a
componente algum da estrutura funcional.

É comum a sobreposição de funções do Gestor de Segurança da

Informação nos tribunais. Muitos são secretários de TI, coordenadores ou
chefes de seção. Isso faz com que tenham inúmeras outras atribuições,
pouco ou nenhum tempo para se dedicar à segurança da informação,
bem como qualificação técnica insuficiente acerca do tema, o que faz
com que não se atenda à exigência contida no parágrafo único do art.
25 da PSI acima transcrito.

Da mesma forma, na realidade de diversos tribunais eleitorais, a

Comissão de Segurança da Informação, além de atuar na definição de
diretrizes relativas à segurança da informação, tem sido também
responsável pela execução de diversas atividades rotineiras de
segurança, não de forma dedicada, mas, em tempo compartilhado
com as demais atribuições de seus integrantes, usualmente secretários
ou assessores.

Muito embora a criação de comitês temáticos, como o de

segurança da informação, proteção de dados pessoais, gestão de
tecnologia da informação, entre outros, seja uma boa prática prevista
em normas e frameworks de governança, devem possuir caráter

14
somente deliberativo e consultivo, como forma de integrar as partes
interessadas (stakeholders) ao tema tratado.

Visando evidenciar essa questão, trazemos aqui recomendações

importantes constantes de boas práticas de segurança da informação,
bem como de órgãos de controle da estrutura de órgãos públicos
brasileira.

Segundo a norma técnica ABNT ISO/IEC 27001:201320, que define

os Requisitos para Sistemas de Gestão de Segurança da Informação:

“5.3. Autoridades, responsabilidades e papéis

organizacionais

A Alta Direção deve assegurar que as responsabilidades

e autoridades dos papéis relevantes para a segurança
da informação sejam atribuídos e comunicados.

A Alta Direção deve atribuir a responsabilidade e

autoridade para:

a) Assegurar que o sistema de gestão da segurança

da informação está em conformidade com os requisitos
desta Norma;
b) Relatar sobre o desempenho do sistema de gestão
da segurança da informação para a Alta Direção.

Nota – A Alta Direção pode também atribuir

responsabilidades e autoridades para relatar o
desempenho do sistema de gestão da segurança da
informação dentro da organização.”

O Conselho Nacional de Justiça (CNJ), por meio de sua Estratégia

Nacional de Tecnologia da Informação do Judiciário (Resolução CNJ
370/2021), prevê a Transformação Digital dos tribunais, utilizando cada
vez mais recursos tecnológicos de inteligência artificial, automação de
processos e resposta ágil ao cidadão, além da gestão do
macroprocesso Segurança da Informação (art. 21, II), bem como a
existência de Comitê Gestor de Segurança da Informação (art.40).

Dessarte, é possível notar o aumento das preocupações com a

cibersegurança por parte do CNJ, visto que, ademais, o tema é tratado
na nova Estratégia Nacional de Segurança Cibernética do Poder

20 https://www.abntcolecao.com.br/normavw.aspx?ID=306580

15
Judiciário (ENSEC-JUD-PJ), que foi aprovada como Resolução n.
396/2021 pelo CNJ em 07/06/2021, publicada no DJe de 10/06/2021.

A estrutura de segurança da informação também é uma

preocupação do Tribunal de Contas da União que, por meio do
acórdão 1.233/2012-TCU-Plenário21, faz referência à norma técnica NBR
ISO/IEC 27.002 (que estabelece um código de prática para controles de
segurança da informação), reforçando a importância de uma estrutura
adequada para uma boa implementação de controles de segurança
da informação:

9.13. Recomendar, com fundamento na Lei 8.443/1992,

art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Conselho
Nacional da Justiça (CNJ) que:

(...)

9.13.9. crie procedimentos para orientar os entes sob sua

jurisdição na implementação dos seguintes controles
(subitem II.8):

9.13.9.1. nomeação de responsável pela segurança da

informação na organização, à semelhança das
orientações contidas na NBR ISO/IEC 27.002, item 6.1.3 –
Atribuição de responsabilidade para segurança da
informação;

(...)

9.13.9.3. processo de gestão de riscos de segurança da

informação, à semelhança das orientações contidas na
NBR https://www.cnj.jus.br/consulta-publica-aprimora-
estrategia-de-seguranca-cibernetica-do-judiciario/

Em acórdão posterior, de nº 3.051/201422– Plenário, o TCU recomenda

ao Conselho Nacional de Justiça, no item 9.4.2 que:

9.4.2. alerte as organizações sob sua jurisdição que o

estabelecimento de um modelo de gestão que abranja,
entre outros processos, a elaboração periódica de

21 https://www.lexml.gov.br/urn/urn:lex:br:tribunal.contas.uniao;plenario:acordao:2012-
05-23;1233
22 ACÓRDÃO TCU 3051/2014. Tribunal de Contas da União. Disponível em
<https://www.lexml.gov.br/urn/urn:lex:br:tribunal.contas.uniao;plenario:acordao:2014-
11-05;3051>.

16
 planejamento estratégico de segurança da informação
é diretriz expressa pelo Conselho Nacional de Justiça
para a gestão da segurança da informação, além de ser
boa prática prevista na NBR ISO/IEC 27.001/2013, item 6,
bem como no Cobit 5, Prática de Gestão APO 13.2 (grifo
nosso).

O Cobit 5, mencionado na recomendação do TCU, classifica as

estruturas organizacionais como habilitadores para a governança e
gestão de TI. Habilitadores, no conceito apresentado pelo modelo, "são
fatores que, individualmente e em conjunto, influenciam se algo irá
funcionar”.

Portanto, a implementação da prática trazida na recomendação

do TCU pressupõe que as estruturas organizacionais do Tribunal estejam
devidamente adequadas, reforçando a necessidade de ajustes
naquelas relacionadas à governança, gestão e operação da
segurança da informação.

4. Da estrutura funcional proposta

Propõe-se uma estrutura funcional mínima a ser implementada

por todos os tribunais eleitorais, complementando a atualmente
definida pela Política de Segurança da Informação da Justiça Eleitoral.

17
 Quanto ao posicionamento das unidades funcionais, faz-se mister
registrar as seguintes considerações:

Convém que o papel de Gestor de Segurança da Informação

esteja lotado na alta administração do órgão (presidência ou direção
geral), com autonomia para a consolidação dos parâmetros de
segurança da informação necessários e suficientes à sustentação do
negócio.

Tal posicionamento não entra em conflito com as atribuições e

responsabilidades da Secretaria de Tecnologia da Informação (STI), mas
faz separação de algumas de suas atribuições, para que a STI possa se
ocupar, efetivamente, da tecnologia e com o crescimento da
organização nessa área, evitando, dessa forma, eventual conflito de
interesse entre os objetivos de TI e as necessidades de segurança da
informação.

Foi nessa linha que a Resolução CNJ n. 396, de 07 de junho de

2021 (ENSEC-JUD-PJ) estabeleceu, em seu art. 21, o seguinte:

Art. 21. Cada órgão do Poder Judiciário, com exceção do STF, deverá constituir
estrutura de segurança da informação, subordinada diretamente à alta
administração do órgão e desvinculada da área de TIC.

§ 1º O titular da estrutura prevista no caput deste artigo será o gestor de

segurança da informação do órgão.

18
§ 2º O gestor de segurança da informação terá as seguintes atribuições:

I – instituir e gerir o Sistema de Gestão de Segurança da Informação;

II – implementar controles internos fundamentados na gestão de riscos da

segurança da informação;

III – planejar a execução de programas, de projetos e de processos relativos à

segurança da informação com as demais unidades do órgão;

IV – implantar procedimento de tratamento e resposta a incidentes em

segurança da informação; e

V – observar as normas e os procedimentos específicos aplicáveis em

consonância com os princípios e as diretrizes desta Resolução e da legislação
de regência.

Convém que o papel de Gestor de Segurança da Informação

não seja acumulado com a de Encarregado pelo Tratamento de Dados
Pessoais (Encarregado de Dados), a fim de evitar conflitos de interesses
e conferir independência na realização das atividades. O acúmulo de
tarefas pode levar a um excesso de responsabilidades. É claro que esse
modelo de separação de funções é o ideal e, talvez, não consiga ser
alcançado por todos os tribunais em curto prazo. Dessa forma, caso o
tribunal opte pela acumulação, será necessário ter no horizonte a
segregação das funções.

É necessário apoio administrativo para as atividades do Gestor de

Segurança da Informação, de preferência, por pessoal com dedicação
exclusiva (principalmente para os tribunais de maior porte).

Convém que a unidade técnica de cibersegurança seja

vinculada diretamente ao(à) Secretário(a) de Tecnologia da
Informação e atue, no que tange às ações práticas de segurança, em
caráter de apoio, consultivo, orientativo e com autonomia suficiente
para o relacionamento com as demais unidades da Secretaria,
coerentes com sua responsabilidade e atribuições.

5. Da estratégia de implantação

Sugere-se que cada Tribunal aloque cargos, funções e crie

unidades administrativas de acordo com o necessário, o mais rápido

19
possível, de modo que surta efeitos já para as eleições presidenciais de
2022.

A quantidade sugerida de cargos é a mínima, podendo cada

Tribunal elevar as quantidades de acordo com os perfis existentes, sua
organização hierárquica e apetite ao risco.

Os cargos de apoio administrativo podem ser de recurso

compartilhado, desde que suficientes para a execução das atividades.

Certamente, serão encontrados obstáculos à construção dessa

estrutura organizacional, como a falta de recursos humanos
capacitados e de CJ/FC disponíveis. Nesse caso, cada tribunal poderá
executar os arranjos internos para a priorização das atividades de
segurança da informação e cibersegurança. Fato é que o modelo de
gestão desse processo tão complexo movido apenas pela ação dos
comitês mostrou-se, tanto na Justiça Eleitoral quanto nos demais ramos
da Justiça, bastante incompleto, levando a uma dificuldade de reação
tempestiva e eficiente a ataques cibernéticos e vazamentos de dados
nos últimos anos. Com a vigência da LGPD e a proximidade das
eleições, certamente chegou a hora de aprimorar o modelo de gestão
da segurança da informação na Justiça Eleitoral.

A implementação de um modelo de gestão de segurança da

informação e cibersegurança pode ser feita de forma gradual, com o
treinamento de pessoas e a criação das unidades organizacionais ao
longo de alguns meses. Porém, é imprescindível, como mencionado
anteriormente, que seja feita no prazo máximo de um ano, para que
seus efeitos já sejam sentidos na eleição nacional de 2022, que será,
provavelmente, uma das mais sujeitas a risco de incidentes de
segurança da informação realizadas pela Justiça Eleitoral desde a sua
criação.

6. Das atividades das unidades funcionais da nova estrutura

As atividades de gestão devem ser realizadas pelo Gestor de

Segurança da Informação, profissional qualificado e ligado
hierarquicamente à alta administração de cada tribunal. Podem ser
típicas ou compartilhadas, e englobar várias áreas temáticas. A seguir,
sugerimos algumas atividades de forma não exaustiva, considerando as
já previstas na Política de Segurança da Informação da Justiça Eleitoral
(Resolução TSE 23.501/2016) e na Estratégia Nacional de Segurança

20
Cibernética do Poder Judiciário (ENSEC-JUD-PJ; Resolução CNJ n.
396/2021).

1. Conscientizar e sensibilizar a alta administração sobre a

necessidade de investimentos em segurança da informação,
inclusive com previsão de plantão e sobreaviso por servidores da
área de SI, e sobre os riscos derivados da não diligência quanto
ao tema, no contexto eleitoral;
2. Fomentar junto ao Tribunal, em apoio à sustentação, à melhoria e
à implantação de novos sistemas computacionais, ações de
contratação de treinamentos, melhoria em processos e aquisição
de ferramentas para as equipes técnicas de segurança da
informação como um todo;
3. Fornecer subsídios para inclusão, no Planejamento Estratégico
Institucional de todos os tribunais eleitorais, dos temas Segurança
Cibernética, Segurança da Informação, Segurança do Processo
Eletrônico e Combate à Desinformação;
4. Elencar parâmetros relativos à alta disponibilidade, continuidade
e monitoramento do ambiente computacional;
5. Gerenciar o Processo de Riscos em Segurança da Informação;
6. Em conjunto com a STI, elencar estratégias para melhoria da
segurança dos sistemas e ambientes computacionais legados;
7. Apoiar a implementação do Plano de Continuidade de Negócios,
nos aspectos de segurança da informação.

As atividades de cibersegurança devem ser realizadas pela área

técnica de cibersegurança, com dedicação exclusiva para tais
processos, localizada dentro da Secretaria de Tecnologia da
Informação. Essas atividades podem ser típicas ou compartilhadas, e
podem englobar várias áreas temáticas. A seguir, sugerimos algumas de
forma não exaustiva.

1. Propor soluções de tecnologia para cibersegurança;

2. Gerenciar eventos de cibersegurança, e atuar diretamente na
resposta a incidentes de cibersegurança, coordenando as
atividades da ETIR;
3. Efetuar análises de vulnerabilidades em sistemas e processos;
4. Efetuar testes de penetração em sistemas e redes
computacionais de responsabilidade do respectivo tribunal
eleitoral, observando requisitos de sigilo e confidencialidade
necessários aos testes e seus resultados;

21
 5. Efetuar a identificação e a classificação de ativos de informação,
quanto aos aspectos de riscos cibernéticos e de segurança da
informação.
6. Efetuar análise de riscos de cibersegurança em novos projetos de
tecnologia;
7. Apoiar a implementação e testes dos planos de continuidade de
negócio, no tocante aos aspectos de segurança de TI;
8. Definir requisitos de segurança do processo de gerenciamento
identidades e acesso, incluindo acessos privilegiados.

7. Dos perfis profissionais

O servidor designado para o cargo de Gestor de Segurança da

Informação deve ter sólido conhecimento a respeito do tema, incluindo
normas ABNT família 27000, Lei Geral de Proteção de Dados (LGPD),
boas práticas em segurança internacionalmente aceitas, e Tecnologia
da Informação.

Convém que detenha certificação profissional (CISSP, CISM, C-

CISO ou equivalente) ou pós-graduação na área de segurança da
informação, podendo tais qualificações ser viabilizadas pelo tribunal
eleitoral por meio da oferta de formação necessária ao servidor
designado.

Convém, ainda, que o designado para o cargo seja servidor de

carreira do próprio órgão ou requisitado de outro órgão do judiciário,
devido ao nível de informações privilegiadas a que terá acesso.

É necessário apoio técnico e administrativo ao Gestor de

Segurança da Informação.

Os servidores designados para integrar a unidade de

cibersegurança devem ter conhecimento de infraestrutura
computacional e cibersegurança (incidentes, prevenção, análises de
vulnerabilidades, testes de invasão etc).

A norma complementar NC Nº 17/IN01/DSIC/GSIPR elenca uma

série de treinamentos e certificações para a formação técnica na área
de segurança da informação. Também é possível propiciar
treinamentos adequados por meio de convênios com universidades e
com a RNP, Rede Nacional de Pesquisa.

22
 Os cargos técnicos e de gestor deverão passar por constantes
treinamentos, a fim de manter os perfis atualizados e adequados para a
realização das atividades.

8. Do quantitativo de cargos por tribunal

Levando em conta o porte de cada tribunal, com base na

classificação utilizada no iGOV-TIC-JUD do CNJ 23 em 2020,
apresentamos, a seguir, uma proposta de distribuição dos servidores na
estrutura mínima de segurança da informação da Justiça Eleitoral:

TRIBUNAIS DE PORTE PEQUENO QUANT. TRIBUNAIS

Cargos de Gestor 1
Cargos Técnicos 1 SE, AL, MS, ES, DF, TO, RR, AC, RO, AP, MT
Cargos de Apoio 1
TRIBUNAIS DE PORTE MEDIO QUANT. TRIBUNAIS
Cargos de Gestor 1
Cargos Técnicos 2 RN, AM, PA, PE, BA, CE, SC, GO, PB, PI, MA
Cargos de Apoio 1
TRIBUNAIS DE PORTE GRANDE QUANT. TRIBUNAIS
Cargos de Gestor 1
Cargos Técnicos 3 TSE, SP, RS, MG, PR, RJ
Cargos de Apoio 1
TRIBUNAL SUPERIOR ELEITORAL QUANT. TRIBUNAIS
Cargos de Gestor 1
Cargos Técnicos 4 TSE
Cargos de Apoio 1

Esses são quantitativos mínimos. Cada tribunal deverá ajustar tais

números, de acordo com a quantidade de usuários e eleitores que
atende.

9. Da viabilidade da proposta

Compreendendo as dificuldades orçamentárias e de pessoal que

cada órgão enfrenta, mas, tendo em vista a função principal deste
Grupo de Trabalho de apontar soluções adequadas às questões que
envolvem a segurança da informação da Justiça Eleitoral, é que
insistimos na necessidade de se rever a estrutura organizacional em

23 https://www.cnj.jus.br/tecnologia-da-informacao-e-comunicacao/painel-do-igovtic-
jud-do-poder-judiciario/

23
torno desse tema, fazendo atuar profissionais qualificados em seus
devidos postos de trabalho.

Nesse sentido, propomos algumas ações que podem auxiliar os

tribunais no alcance do objetivo proposto:

 revisão dos processos de trabalho em cada tribunal,

principalmente dos voltados à tecnologia da informação;
 realocação de pessoas de uma área para outra, conforme a
necessidade;
 conversão de cargos administrativos para tecnologia da
informação, para compor a equipe técnica;
 convocação de servidores para cargos vagos; e
 aproveitamento de concursos de outros tribunais federais na
mesma região de atuação, conforme vários tribunais vêm
fazendo.

Observamos que não é necessário lançar mão de todas as ações

acima, mas a adoção de uma ou mais ações, certamente, será de
grande valia nessa desafiante missão que se coloca diante desta
Justiça especializada.

Finalmente, destacamos que a alocação de CJs e FCs para a

viabilização da estrutura proposta deve levar em conta a criticidade do
processo de Gestão de Segurança da Informação, segundo o apetite a
risco de cada órgão da Justiça Eleitoral.

10. Conclusão

A transformação digital tem um custo que não é somente

financeiro. Ela traz novos desafios e, com os desafios, novos riscos,
principalmente relacionados à cibersegurança.

Trazemos propostas concretas de ajustes e melhorias, a fim de

provocar uma discussão mais intensa sobre o problema, suas causas e
como resolvê-lo.

Certamente, não existe solução simples para questões tão

complexas, mas debruçar-se sobre elas é a única forma de solucioná-
las de maneira efetiva.

Nesse sentido, em atenção às boas práticas de segurança da

informação, com vistas a atingir os objetivos desta Justiça Eleitoral,

24
submetemos à consideração de V.Exa. a presente proposta, elaborada
pelo Grupo de Trabalho de Segurança da Informação, assim
ementada:

1. O modelo atual de gestão da segurança da informação na

Justiça Eleitoral é altamente baseado em ações de comitês e
comissões.
2. Necessidade de readequação da estrutura de segurança da
informação na Justiça Eleitoral, a fim de que a instituição conte
com uma estrutura mínima para ações preventivas e reativas
compatíveis com os riscos que se apresentam, notadamente no
pleito de 2022.
3. Recomendação de que os comitês e comissões se destinem
apenas a deliberar sobre ações de direcionamento estratégico,
como forma de integrar as partes interessadas.
4. Indicação de adoção da boa prática de que o Gestor ou a
Gestora de Segurança da Informação se reporte diretamente à
alta gestão (Presidência ou Diretoria), conte com apoio técnico e
administrativo e seja dedicada às funções de governança e
gestão da segurança da informação.
5. Conveniência da existência de unidade própria dentro da
Secretaria de Tecnologia da Informação, que se reporte
diretamente ao Secretário ou Secretária, com apoio técnico e
administrativo, dedicada à cibersegurança, ou seja, a promover
ações no contexto da TI que conduzam à defesa do ambiente
tecnológico contra ataques cibernéticos.
6. Sugestão de quantitativo na composição dos apoios técnico e
administrativo de acordo com o porte de cada Tribunal (Tabela p.
23).

Respeitosamente,

Dra. Simone Trento

Coordenadora do GT-SI

Brasília, 11 de junho de 2021.

25