Monica Costa

UNIVERSIDADE DE BRASÍLIA
INSTITUTO DE CIÊNCIAS EXATAS

DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO
ESPECIALIZAÇÃO EM CIÊNCIA DA COMPUTAÇÃO: GESTÃO
DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES
MÔNICA COSTA TKACZYK MARTINS
ESTUDOS PRELIMINARES PARA IMPLANTAÇÃO DE

UM SISTEMA DE GESTÃO DE SEGURANÇA DA
INFORMAÇÃO NA ADVOCACIA-GERAL DA UNIÃO
Orientador: Prof. Dr. Jorge Henrique Cabral Fernandes
Brasília, novembro de 2008

II
UNIVERSIDADE DE BRASÍLIA
INSTITUTO DE CIÊNCIAS EXATAS
DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO
ESPECIALIZAÇÃO EM CIÊNCIA DA COMPUTAÇÃO: GESTÃO
DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES
MÔNICA COSTA TKACZYK MARTINS

Monografia de Especialização submetida à Universidade de Brasília

como requisito parcial à obtenção do título de Especialista em Ciência
da Computação: Gestão da Segurança da Informação e Comunicações.
Orientador Prof. Dr. Jorge Henrique Cabral Fernandes.
Brasília, novembro de 2008

III

Mônica Costa Tkaczyk Martins
Monografia de Especialização submetida e aprovada pela Universidade de Brasília

como parte do requisito parcial para a obtenção do certificado de Especialista em
Ciência da Computação: Gestão da Segurança da Informação.
Aprovada em: 23 de junho de 2009
_________________________________________
Prof. Dr. Jorge H C Fernandes
Universidade de Brasília
_________________________________________
Prof. Dr. Edgard Costa Oliveira
_________________________________________
Prof. Dr. Jacir Bordim
Coordenador do curso: Prof. Dr. Jorge H C Fernandes

IV
“Pode-se vencer pela inteligência, pela

habilidade ou pela sorte, mas nunca sem
trabalho”.
(A. Detouef).
V
Dedico
ao meu marido Cassius, que me apoiou e

encorajou a prosseguir com a realização desta
conquista.
VI
AGRADECIMENTOS
Agradeço primeiramente a Deus que me guiou neste período de luta e iluminando o meu
caminho para contemplar esta tão esperada vitória;
aos meus pais Leszek e Teresa, pelos valores transmitidos, e pela ajuda que sempre me
dão para alcançar meus objetivos;
aos meus filhos, Caio e Ana Clara, pela paciência e por aceitar.minha ausência no
período de realização deste trabalho;
aos colegas e amigos, pela força, incentivo nos momentos difíceis reanimando-me a
caminhar;
aos professores, por ajudar a desbravar um novo caminho de conhecimento, cujo valor
irei levar pelo resto da vida;
enfim, a todos que direta ou indiretamente colaboraram para a realização desta

monografia, meu profundo respeito, homenagem e eterna gratidão.
VII
SUMÁRIO
1 Introdução ............................................................................................................. 11
2 Requisitos Pré-pesquisa...................................................................................... 13
2.1 Objetivo Geral ................................................................................................................ 13
2.2 Objetivos Específicos ..................................................................................................... 13
2.3 Justificativa .................................................................................................................... 13
2.4 Metodologia .................................................................................................................. 14
3 Revisão Bibliográfica .......................................................................................... 16
3.1 O Sistema de Gestão da Segurança da Informação e seus principais conceitos ........... 16
3.1.1 Risco.............................................................................................................................................. 17
3.1.2 Ameaça.......................................................................................................................................... 19
3.1.3 Vulnerabilidade .............................................................................................................................. 20
3.1.3 Sistema Gestão da Segurança da Informação ............................................................................. 21
3.2 A Norma ABNT NBR ISO/IEC 27002:2005..................................................................... 22
3.3 A Norma ABNT NBR ISO/IEC 27001:2006..................................................................... 27
3.4 A GSIC na Administração Pública Federal ..................................................................... 30
3.4.1 Situação no Executivo ................................................................................................................... 30
3.4.2 Situação da Segurança e Governança na visão do TCU ............................................................. 35
4 Uma Análise da AGU sob a ótica da GSIC ........................................................ 39
4.1 O que é a AGU .............................................................................................................. 39
4.2 Os processos da AGU ................................................................................................... 42
4.3 Ativos ............................................................................................................................. 46
4.3.1 O atual corpo funcional da AGU .................................................................................................... 47
4.3.2 O CPD e o parque computacional da AGU ................................................................................... 48
4.3.3 SICAU – Sistema Integrado de Controle das Ações da União ..................................................... 50
4.4 Instalações Físicas da AGU .......................................................................................... 51
5 Proposta preliminar do escopo para implantação do SGSI na AGU ............... 53
5.1 Características do escopo: Operação e Manutenção do CPD........................................ 56
5.1.1 Nome e Descrição do Escopo ....................................................................................................... 56
5.1.2 Localização do escopo ................................................................................................................. 57
5.1.3 Relevância do escopo com o negócio da organização ................................................................ 57
5.1.4 Ativos Relevantes pertencentes ao escopo .................................................................................. 58
5.1.5 Serviços mais críticos do escopo .................................................................................................. 61
5.2 O que não faz parte do escopo ..................................................................................... 62
5.2.1 Processos e ambientes que fazem fronteira com o escopo ......................................................... 62
5.2.2 Justificativa para os outros ativos não fazerem parte do escopo ................................................. 62
6 Próximas etapas para implantação do SGSI na AGU ........................................ 64
VIII
6.1 Definir a política para o SGSI ......................................................................................... 64

6.2 Definir a abordagem de análise e identificar os riscos ................................................... 65
6.3 Analisar e avaliar os riscos............................................................................................. 66
6.4 Identificar e avaliar as opções para o tratamento de riscos ............................................ 67
6.5 Selecionar controle para o tratamento de riscos ............................................................ 68
6.6 Obter aprovação da direção dos riscos residuais propostos .......................................... 68
7 Considerações Finais .......................................................................................... 70
Referências bibliográficas ...................................................................................... 71
IX
RESUMO
A Advocacia-Geral da União (AGU) tem por missão institucional a

defesa jurídica da União no que diz respeito às atividades de consultoria e
assessoramento jurídico ao Poder Executivo, representação judicial e extrajudicial
da União e correições nos órgãos jurídicos da AGU.
A produção e manutenção das notas técnicas, pareceres e demais trabalhos
jurídicos produzidos pelos profissionais da área jurídica são informações
imprescindíveis para AGU e tornou-se tão essencial que qualquer problema que
afete a segurança destas informações causa inúmeros transtornos e atrasos nos
serviços prestados pela AGU.
Tendo em vista este cenário, torna-se fundamental tomar as providências
necessárias para evitar problemas e/ou minimizar os efeitos de possíveis falhas de
segurança nos ambientes tecnológicos e físicos da AGU.
Como proposta para minimizar e solucionar estes problemas a implantação
de um Sistema de Gestão de Segurança da Informação oriundo de modelos de
qualidade como as normas da família ISO 27000, apresenta grande chance de ser
adotada e melhorar a situação de segurança da AGU, no trato de suas informações
e comunicações.
Esta monografia descreve os resultados de um estudo preliminar para
implantação de um Sistema de Gestão de Segurança da Informação na AGU,
onde aborda uma breve análise da organização e as restrições que afetam a
implantação, propondo ao final o escopo onde deverá ser implantado o SGSI.
Palavras-chave: Sistema de Gestão de Segurança da Informação, ISO 27001, ISO

27005, Administração Pública Federal e Advocacia-Geral da União.
X
ABSTRACT
The Advocacia Geral da União - AGU (General Counsel of the State) has the institu-
tional mission to legal defense of the State with regard to the activities of consultancy
and legal advice to the Executive, Judiciary and Extra- Judiciary representation of
the State and settlement of legal sections in AGU.
The production and maintenance of technical notes, opinions and other legal work
produced by professionals in the legal area are essential work in AGU and
those informations have become so essential that any problem that affects the secu-
rity in that area causes many disorders and delays in services provided by AGU.
In the view of this scenario, it is essential to take the necessary measures to avoid
problems and / or minimize the effects of possible security flaws in technology and
physical environments of AGU.
As a proposed to solve these problems and minimize the deployment of a safety

management system of information that we preset models of quality standards such
as ISO 27000, that has a great chance of being adopted and improve the security
situation in AGU in maters of information and communications.
This paper describes the results of a preliminary study for setting up a management
system that provides security information in AGU, and also will present a brief analy-
sis of the organization and the restrictions that affect the deployment, in the end
to conclusion by proposing the deployed of SGSI.
Key words: Management System Information Security, ISO 27001, ISO 27005, Fed-
eral Public Administration and General Counsel of the State.
1 INTRODUÇÃO
Nos últimos anos, a Tecnologia da Informação - TI tornou-se cada vez mais

estratégica para o Governo Federal e por conseqüência o conceito de Segurança da
Informação tem dispensado especial atenção em diversos perfis e setores dentro da
Administração Pública Federal As publicações do Acórdão TCU Nº 1603/2008, que
recomenda uma série de ações, entre elas a “orientação do gerenciamento da
segurança da informação” e a Instrução Normativa GSI nº1 de 13 de junho de 2008,
que “disciplina a Gestão da Segurança da Informação e Comunicações na
Administração Pública Federal” são exemplos de como o Governo tem se
preocupado com a Segurança da Informação.
A preocupação do Governo Federal com Segurança da Informação também

fica clara com a publicação dos Decretos 4.553 que “Dispõe sobre a salvaguarda de
dados, informações, documentos e materiais sigilosos de interesse da segurança da
sociedade e do Estado, no âmbito da Administração Pública Federal” e do Decreto
3.505 que “Institui a Política de Segurança da Informação nos órgãos e entidades da
Administração Pública Federal”. Adicionalmente foi publicada pela ABNT em 2001 a
norma ISO/IEC 17799:2005 de Segurança da Informação (versão traduzida da
norma inglesa BS 7799-2), que estabelece boas práticas para gestão da segurança
da informação. Em 2008 a ISO/IEC 17799:2006, foi revista e passou se chamar
ISO/IEC 27002:2005, esta norma, em conjunto com a Norma NBR ISO/IEC
27001:2006, tem sido considerada no Brasil e no mundo uma referência de Gestão
da Segurança da Informação.
A Advocacia-Geral da União mantém uma infra-estrutura de tecnologia que

suporta uma fatia considerável dos processos críticos da instituição, essenciais às
atividades desempenhadas para a elaboração e do cumprimento das políticas
públicas do setor. Adicionalmente, a organização enfrenta uma demanda crescente
relacionada às tecnologias que promovem a sistematização dos processos críticos,
e que somente poderão ser viabilizadas com a implementação de recursos que
permitam uma maior garantia de segurança no ambiente físico e tecnológico. Neste
cenário, fica claro que a interrupção ou o mau funcionamento de serviços, seja por
decorrência de fatores tecnológicos, seja por fatores físicos (incêndios, inundações,
12
desastres, etc), fraudes, vazamento de informações, pode causar muitos danos à

AGU e conseqüentemente prejuízos financeiros e de imagem ao Governo Federal.
Tomando como base a Norma NBR ISO/IEC 27001:2006, que estabelece os

elementos de um Sistema de Gestão de Segurança da Informação este trabalho faz
um levantamento preliminar dos problemas de segurança e propõe melhorias para
solucionar preliminarmente estes problemas. O trabalho indica os requisitos
preliminares para implementação, na Advocacia-Geral da União, de um Sistema de
Gestão de Segurança da Informação.
13
2 REQUISITOS PRÉ-PESQUISA
2.1 Objetivo Geral
O objetivo geral deste trabalho é estudar e apontar soluções preliminares

para os problemas de segurança de sistemas de informação atualmente existentes
na AGU, utilizando como referência a Norma ABNT ISO/IEC 27001:2006 e a
proposta de implantação de SGSI nela contida.
2.2 Objetivos Específicos
A fim de atingir o objetivo geral deste trabalho, a pesquisa foi dividida em

três etapas, que se constituem em objetivos específicos que são:
a) Fazer uma revisão bibliográfica dos modelos das Normas NBR ISO/IEC
27002 e NBR ISO/IEC 27001 para gestão de SIC´s ;
b) Caracterizar a AGU e seus principais processos, ativos e localização

geográfica das unidades;
c) Elaborar uma declaração do escopo para um SGSI na AGU.
2.3 Justificativa
A Advocacia-Geral da União é o mais elevado órgão de assessoramento

jurídico do Poder Executivo, submetida à direta, pessoal e imediata supervisão do
Presidente da República. A AGU concentra ainda a representação judicial e
extrajudicial da União, envolvendo os três Poderes da República.
A produção de pareceres, informações e demais trabalhos jurídicos, bem

como o acompanhamento de feitos judiciais de interesse da União caracterizam de
modo inequívoco a existência de informações e conhecimentos sensíveis e sigilosos
na AGU.
Desta forma, a implementação do Sistema de Gestão de Segurança da

Informação na AGU, assume papel importante para o funcionamento do órgão em
suas atribuições constitucionais, tendo em vista a sensibilidade das informações ali
trabalhadas.
14
De forma superficial, também foram identificados pela autora deste trabalho,

que é servidora administrativa da AGU, alguns pontos que colocam em risco a
segurança das informações produzidas na organização. São eles:
 Não há monitoração das áreas por CFTV, o que inviabiliza a

identificação dos possíveis invasores às áreas restritas;
 O crachá utilizado na AGU é passível de falsificação com facilidade,

aumentando assim a chance de entrada de pessoas não autorizadas;
 Há resistência para o uso de crachá e do botton por parte de alguns

servidores, o que inviabiliza a identificação das pessoas autorizadas ou
não;
 Não existe equipamento que possibilite detectar armas, objetos

metálicos, entre outros materiais, na recepção da AGU;
 Inexistência de equipes de gerenciamento de contingência;
 Não há isolamento acústico dos ambientes onde são tratados assuntos

sensíveis ou sigilosos;
 Não há rotina de verificação da existência de equipamentos eletrônicos

de escuta e gravação clandestinas em áreas de maior sensibilidade.
Estes pontos foram motivadores da realização deste trabalho.
2.4 Metodologia
Este trabalho utilizou como metodologia o método indutivo de análise

qualitativa, classificando-a como qualitativa e bibliográfica, segundo Marconi e
Lakatos (1996).
Além da Introdução e dos objetivos Geral e Específicos constantes dos

Capítulos 1 e 2, o trabalho consiste em uma análise documental e revisão
bibliográfica das Normas NBR ISO/IEC 27002:2005 e NBR ISO/IEC 27001:2006.
No Capítulo 3 são apresentados também os principais conceitos do Sistema

de Gestão da Segurança da Informação: Risco, Ameaça, Vulnerabilidade e uma
15
descrição do processo de gestão de Riscos constante da Norma ABNT ISO/IEC

27005:2008.
No Capítulo 4 é efetuada uma análise da organização estudada, sobre a

ótica da Gestão da Segurança da Informação e Comunicações, são apresentados os
principais processos e ativos.
Baseado na Norma ABNT ISO/IEC 27002:2005 o Capítulo 5 traz como

proposta o escopo preliminar para implantação do Sistema de Gestão de Segurança
da Informação, e os processos que não fizeram parte do escopo definido com as
devidas justificativas.
Finalmente, no Capítulo 6, são descritos os outros passos que

complementarão a implantação do SGSI na AGU.
16
3 REVISÃO BIBLIOGRÁFICA
Essa revisão bibliográfica é composta por quatro partes.
A primeira parte é uma abordagem sobre os principais conceitos que fazem

parte do Sistema de Gestão da Segurança da Informação. A segunda e terceira
parte apresentam respectivamente as Normas ABNT ISO/IEC 27002:2005 e
27001:2006. A quarta parte apresenta a Gestão da Segurança da Informação e
Comunicações na Administração Pública Federal.
3.1 O Sistema de Gestão da Segurança da Informação e seus principais

conceitos
Hoje vivemos na sociedade da informação e é sabido que a informação é o

bem mais precioso de qualquer empresa, e em conseqüência o ativo mais sujeito a
riscos (Dias, 2000).
Tendo em vista este cenário, atualmente as organizações têm se

preocupado em proteger as suas informações contra ataques de hackers e crakers1
ou novos vírus que surgem a todo o momento.
Os dirigentes estão empenhados em conscientizar seus funcionários,

prezando pela ética profissional. Um funcionário insatisfeito pode trazer inúmeros
problemas para uma organização, entre eles a perda ou divulgação indevida de
informações valiosas ou sigilosas.
No outro lado da mesma moeda a segurança da informação requer um

investimento de alto custo, que muitas organizações optam por não fazer, por
desconhecer todos os problemas que podem ocorrer devido à falta da implantação
de um Sistema de Gestão de Segurança da Informação adequado.
1
“Hacker- De acordo com Nakamura e Geus (2003), hackers são pessoas que utilizam seus conhecimentos em informática
para invadir sistemas, não com a finalidade de destruí-lo e causar prejuízos às vítimas, mas sim de demonstrar sua capacidade
e habilidades.
Cracker – “Cracker, de acordo com o significado originalmente cunhado ao termo, designa sim, elementos mal intencionados,
que estudam e decodificam programas e linguagens a fim de causar danos a computadores alheios. A intenção é invadir e
sabotar sistemas, quase sempre objetivando a captação de dados passíveis de render cifras. Ou seja, roubo eletrônico, esteli-
onato ou o que quer que seja. A intenção é definitivamente ruim . (Sisnema,2005)”
17
Neste capítulo serão abordados os conceitos sobre os principais

componentes que permeiam um Sistema de Gestão de Segurança da Informação.
3.1.1 Risco
Segundo Michaelis (2008) “Risco é possibilidade de perigo, incerto mas pre-

visível, que ameaça de dano a pessoa ou à coisa...” , ou seja, podemos considerar
como risco, a possibilidade de um evento desfavorável ocorrer.
Quando o Risco é identificado, é possível atuar preventivamente para

combater, ou até mesmo conviver com ele, o importante é que devemos conhecer
os riscos para poder melhor geri-los.
A Norma ABNT ISO/IEC 27005:2008 é o documento que contém a

descrição do processo de gestão de riscos. Este documento auxilia o Gestor de Se-
gurança da Informação na gestão dos riscos.
Segundo a Norma o processo de Gestão de Risco consiste em:
 Definição do Contexto (Seção 7) – que é uma análise da organização

definindo suas principais características, o escopo e os limites de atuação;
 Análise/Avaliação de riscos (Seção 8) - nesta etapa há a identificação

dos riscos, onde eles classificados conforme sua ordem de prioridade e
relevância;
 Tratamento do Risco (Seção 9) – é a etapa onde os controles para

reduzir, evitar ou transferir os riscos são definidos (Plano de Tratamento de
Risco);
 Aceitação do Risco (Seção 10) – esta etapa consiste na aceitação do

risco, pois se não há possibilidade de evitar ou tratar o risco, é importante
aceitá-lo e registrar a decisão identificando o responsável pela decisão;
 Comunicação do Risco (Seção 11) – é a etapa onde as informações

sobre o risco devem ser disseminadas para todos os envolvidos;
 Monitoramento e Análise Crítica de Riscos (Seção 12) - é a etapa

onde os riscos e seus fatores são monitorados criticamente, a fim de agir
com maior agilidade nas possíveis mudanças no contexto da organização.
18
Para melhor visualizar, a Figura 1 apresenta as várias etapas no processo

de Gestão de Risco, onde iniciado o processo com a Definição do Contexto da
organização, serão identificados/avaliados os riscos, etapa esta que pode ser
efetuada quantas vezes for necessário, e quanto mais vezes esta etapa for repetida,
maior será riqueza dos detalhes na definição e valoração dos riscos.
Figura 1 - Processo de Gestão de Riscos de Segurança da Informação.
Fonte: Norma ABNT ISO/IEC 27005:2008 p.5.
Após a análise/avaliação do Risco temos o Ponto de Decisão 1 (Figura 1),

que permite verificar se a avaliação foi satisfatória, se afirmativo a etapa está
cumprida, devendo partir para a próxima etapa que é o Tratamento do Risco, caso
negativo deverá se repetir a análise/avaliação de Riscos e revisto a Definição do
Contexto.
19
É importante frisar que sem a devida análise/ avaliação dos riscos a próxima
etapa que é o tratamento dos riscos pode ser prejudicada. No ponto de Decisão 2
(Figura 1) é possível verificar se o tratamento não foi satisfatório, as etapas
anteriores deverão ser revistas. Caso afirmativo podemos partir para a próxima
etapa que é a Aceitação do Risco.
A Aceitação do Risco consiste em explicitar de forma transparente todos os

riscos existentes, por exemplo, nos casos onde a implementação de uma ação é
postergada pela escassez de recursos financeiro, é interessante que fique claro
todos os riscos que o adiamento daquela implementação vai acarretar.
No processo de Gestão de Riscos é importante efetuar em todas as etapas

a comunicação dos riscos existentes para o pessoal operacional e os gestores da
organização. A conscientização do pessoal sobre todo o processo ajuda no
momento de lidar com os incidentes e eventos não previstos de forma mais efetiva.
Quanto à etapa de Monitoramento e Análise Crítica dos Riscos, as

atividades inerentes a esta etapa são constantes, pois os riscos não são estáticos e
precisam de monitoramento contínuo. Por exemplo, caso a organização adquira
novos ativos, estes devem ser incluídos no monitoramento (Novos equipamentos,
funcionários recém admitidos e etc).
3.1.2 Ameaça
Segundo a norma ISO/IEC 13335-1:2004 ameaça é “ causa potencial de um

incidente indesejado, que pode resultar em um dano para um sistema ou
organização”.
As ameaças são agentes capazes de explorar os “pontos fracos” dos
sistemas de segurança e podem causar prejuízos para as organizações. O desafio é
o SGSI evoluir, atualizar e se equipar de meios para proteger as organizações
destes danos.
Um dos objetivos do SGSI é impedir que as ameaças detectem e explorem
as vulnerabilidades e causem danos para os sistemas ou empresas.
Identificando os pontos fracos, ou seja , acompanhando todo o processo de
gestão de risco, no qual foi falado anteriormente é possível agir preventivamente,
aplicando quando for o caso as medidas de segurança existentes.
20
Conforme a Norma ABNT ISO/IEC 27005:2008, as ameaças podem ser

classificadas em três grupos:
1) Ameaças Naturais – estão ligadas aos fenômenos da natureza e

qualquer organização está exposta a isso, são exemplos: as inundações,
incêndios, furacões e tornados;
2) Ameaças Intencionais – são ameaças que são criadas com a intenção
de prejudicar, causar dano, por exemplo, fraudes, sabotagem, roubo;
3) Ameaças Involuntárias – são ameaças que acontecem por falta de
conhecimento e preparo dos usuários. Exemplos: propagação de vírus e
spam.
Os exemplos mais comuns de ameaças às informações, são: vírus, spam,

trojan ou cavalo de tróia, funcionários insatisfeitos, furto e quebra de senhas,
vazamento de informação, hacker, falha de segurança interna.
3.1.3 Vulnerabilidade
De acordo com a Norma ABNT ISO/IEC 27002:2005 vulnerabilidade é a

“fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais
ameaças”.
Segundo Sêmola, a vulnerabilidade é a “brecha” ou janela que permite que
a ameaça ocorra (Sêmola, 2003), e para evitar que os ativos de uma organização
estejam expostos aos riscos é conveniente rastrear e eliminar as vulnerabilidades da
informação.
Ao se identificarem as vulnerabilidades, será possível dimensionar os riscos
aos quais a organização está exposta e definir as medidas de segurança mais
apropriadas e urgentes.
O uso inadequado da informação, é uma da formas que torna o ativo
vulnerável as ameaças e para implantar a segurança é imprescindível que se
corrija as vulnerabilidades no ambiente em que se usam as informações, com o
objetivo de reduzir os riscos as quais elas estão submetidas. Dessa forma, evita-se a
concretização das ameaças.
21
Por exemplo, podemos citar as políticas de descarte de mídias, ou formas de

selecionar o lixo, medidas simples que evitam a exposição de informações sigilosas.
3.1.3 Sistema Gestão da Segurança da Informação
A Norma ABNT NBR ISO/IEC 27002:2005 (p.iv) diz que a Segurança da

Informação visa proteger uma organização de diversos tipos de ameaças, buscando
entre outros aspectos minimizar os danos.
Segundo o Decreto nº 3505 de 2000, Segurança da Informação é a:

“Proteção dos sistemas de informação contra a negação de serviço a usuários
autorizados, assim como contra a intrusão, e a modificação desautorizada de dados
ou informações, armazenados, em processamento ou em trânsito, abrangendo,
inclusive, a segurança dos recursos humanos, da documentação e do material, das
áreas e instalações das comunicações e computacional, assim como as destinadas
a prevenir, detectar, deter e documentar eventuais ameaças a seu
desenvolvimento.”
Analisando o conceito definido no decreto, a Segurança da informação é a

responsável por proteger a informação e garantir que ela não seja modificada ou
destruída, protegendo também os meios por onde ela trafega, identificando as
possíveis ameaças e eliminado os riscos.
Os sistemas de informação são partes integrantes das organizações. Os SI

são responsáveis por armazenar, tratar e fornecer informações em consonância com
as áreas que apóiam a organização. Atualmente as lideranças devem saber como
estruturar e coordenar as diversas tecnologias de informação para atender às
necessidades da organização como um todo.
Um Sistema de Gestão de Segurança da Informação segundo a Norma

ABNT NBR ISO/IEC 27001:2006 , “é um sistema que envolve políticas, atividades de
planejamento, responsabilidades, práticas, procedimentos, processos e recursos da
organização e é a parte do sistema global, baseado na abordagem de riscos do
negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente,
manter e melhorar a segurança da informação.”
22
Um SGSI é a aplicação planejada das políticas, objetivos, diretrizes e

normas que resultam na identificação e redução dos riscos (Norma ABNT ISO/IEC
27001:2005, 2005)
Para a implantação de um SGSI é preciso primeiramente definir a sua área

de abrangência, identificando a localização geográfica, as pessoas e processos que
compõe a organização. Logo após é preciso identificar o que se quer proteger (os
ativos), identificando também as vulnerabilidades e as possíveis ameaças a que
estão expostos. Finalmente são priorizados os controles necessários para garantir a
segurança dos ativos (Norma ABNT ISO/IEC 27001:2005, 2005).
A importância na implantação de um SGSI é permitir a organização

identificar os pontos vulneráveis e as falhas nos sistemas, que deverão ser
corrigidos. Para isso é imprescindível que o SGSI tenha o patrocínio do nível
estratégico da organização e se possível do departamento jurídico, que deverá
conferir sua legitimidade.
Outro ponto a ser considerado para a implantação do SGSI em uma

organização é a implementação de um programa de treinamento e conscientização
dos usuários nas questões relativas à Segurança da Informação. Isto se deve ao
fato que a Segurança da Informação se comparada a uma corrente tem nas pessoas
o elo mais fraco e que por conseqüência influência na sua quebra.
Segundo vários especialistas a maior parte dos incidentes de segurança são

causados por agentes internos, as estatísticas apontam que mais de 80% dos
incidentes de roubo na internet são efetuados por eles (CERT, 2004).
O sucesso da implantação de um Sistema de Gestão de Segurança da

Informação depende do apoio da direção da organização, dedicação e constante
qualificação dos profissionais envolvidos.
3.2 A Norma ABNT NBR ISO/IEC 27002:2005
A Norma ABNT NBR ISO/IEC 17799:2005, que foi renomeada para

27002:2005 a partir do ano de 2008, aborda que a garantia da segurança da
informação significa proteger a informação de vários tipos de ameaças, para
23
possibilitar a continuidade do negócio, minimizar o risco, maximizar o retorno sobre

os investimentos e as oportunidades do negócio.
Baseado na norma NBR ISO/IEC 27002:2005 pode-se dizer que três são os
princípios da segurança da informação:
- Confidencialidade: visa manter informações sigilosas longe de pessoas

não autorizadas para terem acesso a elas. Toda informação deve ser protegida de
acordo com o grau de sigilo de seu conteúdo.
O Decreto nº 4.553 de 27/12/2002, que “dispõe sobre a salvaguarda dos

sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras
providências” é uma regulamentação que exemplifica o princípio da
confidencialidade e quando um documento sigiloso não recebe o tratamento
adequado que a regulamentação determina esta situação implica na quebra da
segurança.
- Integridade: visa proteger a informação de modificações não autorizadas,

imprevistas ou não intencionais. Assim, toda informação deve ser mantida na
mesma condição em que foi disponibilizada pelo seu proprietário.
Para melhor entender este princípio tomemos como exemplo o Incêndio que
aconteceu no prédio do INSS em janeiro de 2005 (ONLINE,Folha, 2005). Além dos
equipamentos, mobiliário, vários processos administrativos foram queimados. A
integridade das informações e a disponibilidade, princípio que veremos no próximo
tópico, foram quebrados o que acarretou em um prejuízo de milhões ao cofre
público.
- Disponibilidade: toda informação gerada ou adquirida deve estar

disponível aos seus usuários no momento em que eles necessitem dela.
Quando uma rede recebe ataques de negação de serviço – DDoS

(Distributed Denial of Service)2, isso resulta em um ataque eficiente fazendo com
2
De acordo com a definição do CERT (Computer Emergency Response Team), os ataques DDoS (Distributed aDenial of
Service), também denominados Ataques de Negação de Serviços, consistem em tentativas de impedir usuários legítimos de
utilizarem um determinado serviço de um computador. Para isso, são usadas técnicas que podem: sobrecarregar uma rede a
tal ponto em que os verdadeiros usuários dela não consigam usá-la; derrubar uma conexão entre dois ou mais computadores;
24
que a vítima fique sem qualquer forma de defesa, não conseguindo ao menos
identificar a origem do ataque, e nem acessar os serviços.
A preservação destes três princípios constitui o arcabouço da segurança da

informação, mas é importante conhecer seus agentes: ameaças, vulnerabilidades,
perímetro, riscos, mecanismos de segurança e o responsável pela segurança.
O Gabinete de Segurança da Informação entende como outro princípio a

Autenticidade, que segundo a Instrução Normativa nº 1 garante que a informação ou
o usuário da mesma é autêntico; atestando com exatidão, a origem do dado ou
informação.
A norma brasileira NBR ISO/IEC 27002:2005 é um guia prático que

estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar
a gestão de segurança da informação em uma organização.
Neste sentido a norma se subdivide em 16 capítulos: Introdução, Objetivo,

Termos e Definições, Estrutura da Norma, Análise/avaliação e tratamento de Riscos,
Política de Segurança da Informação, Organizando a Segurança da Informação,
Gestão de Ativos, Segurança em Recursos Humanos, Segurança Física e do
Ambiente, Gerenciamento das Operações e Comunicações, Controle de Acessos,
Aquisição, desenvolvimento e manutenção de Sistemas de Informação, Gestão de
Incidentes de Segurança da Informação, Gestão da Continuidade do Negócio e
Conformidade.
Segue abaixo o detalhamento dos principais capítulos que compõem a nor-

ma:
1 - Análise/avaliação e tratamento de Riscos: Segundo a norma, as

análises/avaliações de risco devem identificar e priorizar os riscos partindo como
base os critérios de aceitação dos riscos e dos objetivos da organização.
2 - Política de segurança: Define a PSI como um documento de alto nível

que representa o topo de uma pirâmide de outros documentos que fornecem
informação em graus de detalhamento cada vez maiores sobre os padrões e
fazer tantas requisições a um site até que este não consiga mais ser acessado; negar acesso a um sistema ou a determinados
usuários.
25
procedimentos de segurança a serem aplicados aos dados e sistemas corporativos

relativos à segurança.
“A política é o elemento que orienta as ações e implementações futuras, de

uma maneira global, enquanto as normas abordam os detalhes, como os passos da
implementação, os conceitos e os projetos de sistemas e controles. Os
procedimentos que são utilizados para que os usuários possam cumprir aquilo que
foi definido na política e os administradores possam configurar os sistemas com a
necessidade da organização “ (NAKAMURA;GEUS, 2003, p.175).
A Figura 2 ilustra a visão deste planejamento, segundo NAKAMURA e

GEUS.
Figura 2 – Planejamento da política de segurança da informação.
Fonte: NAKAMURA; GEUS, 2003, p.175.
3 - Segurança organizacional: Aborda a estrutura de uma gerência para

segurança da informação, define as responsabilidades dos usuários pela segurança
da informação, incluindo agentes externos e fornecedores de serviços.
4 - Classificação e controle dos ativos de informação: Define a

classificação, o registro e o controle das informações da organização.
5 - Segurança em pessoas: Reduz os riscos de falha humana, roubo,

fraude ou uso impróprio das instalações; assegura que os usuários, de acordo com
seus cargos, estejam cientes das ameaças à segurança da informação.
26
6 - Segurança ambiental e física: Segurança das áreas de circulação

restrita e à necessidade de se protegerem os equipamentos e a infra-estrutura de
um Ambiente Computacional Complexo.
7 - Gerenciamento das operações e comunicações: Aborda as principais

áreas físicas e operacionais que devem ser objeto de especial atenção da
segurança. Dentre estas áreas destacam-se: procedimentos operacionais e
respectivas responsabilidades, homologação e implementação de sistemas,
gerência de redes, controle e prevenção de vírus, controle de mudanças, execução
e guarda de cópias de segurança, controle de documentação, segurança de correio
eletrônico etc.
8 - Controle de acesso: Controla o acesso a informação, prevenindo contra

acesso não autorizado a sistemas, equipamentos e rede; Define sistemas de senhas
para monitoramento de acesso e uso; assegura a segurança da informação quando
usada em notebooks e recursos de tele-processamento.
9 - Desenvolvimento de sistemas e manutenção: Aborda os requisitos de

segurança dos sistemas, desenvolvimento, dados e suporte, garantindo a
confidencialidade, autenticidade e integridade da informação, assegurando que
projetos de tecnologia da informação e suporte de atividades sejam conduzidos de
maneira segura.
10 - Gestão de continuidade do negócio: Previne para que não ocorram

interrupções nas atividades e processos críticos do negócio devido às falhas e
desastres, reforça a necessidade de se ter um plano de continuidade e contingência
desenvolvido, implementado, testado e atualizado.
11 - Conformidade: Evita, por parte da organização, as seguintes violações:

às leis civis ou criminais; às obrigações legais ou contratuais de propriedade
intelectual; de segurança a sistemas e informações de terceiros. Também visa a
maximizar a efetividade e minimizar a interferência em sistema de auditagem:
Cabe ressaltar que a Norma ABNT ISO/IEC 27002:2005 apresenta um guia

prático para implementação de cada um dos 133 controles apresentados no
apêndice A da Norma ABNT ISO/IEC 27001:2006. Estes controles podem ser ou
não seguidos na sua totalidade, dependendo assim do limite do escopo definido no
SGSI.
27
Para identificar os controles a serem implantados na Advocacia-Geral da

União, ou dentro de qualquer órgão da APF é importante que haja primeiramente o
patrocínio dos dirigentes, para prosseguir com o trabalho. O planejamento
detalhado, com procedimentos específicos e a definição do limites da área que vai
ser contemplada.
Para fins de certificação de conformidade a Norma ABNT ISO/IEC

27001:2006 é a norma utilizada, detalhada na próxima seção.
3.3 A Norma ABNT NBR ISO/IEC 27001:2006
A Norma ABNT ISO/IEC 27001:2006 (Information Technology - Information

Security Management Systems - Requirements) trata da implantação de um Sistema
de Gestão de Segurança da Informação (ISMS - Information Security Management
System). Esta norma em conjunto com a Norma ABNT ISO/IEC 27002:2005 (Código
de Boas Práticas da Gestão de Segurança da Informação) constitui a principal
referência, atualmente, para quem procura tratar a questão da segurança da
informação de maneira eficiente e com eficácia.
A Norma ABNT ISO/IEC 27001:2006 “foi preparada para prover um modelo

para o estabelecimento, implementação, operação, monitoramento, revisão,
manutenção e melhoria de um Sistema de Gestão de Segurança da Informação”
(Módulo, 2008).
Através da Norma ABNT ISO/IEC 27001:2006 é possível implementar um

SGSI de forma rápida e eficiente, pois ela define através do modelo PDCA 3 as fases
para a gestão completa de todos os fatores envolvidos na proteção da informação
determinada pela organização. Se a organização seguir todos as etapas proposta no
modelo é possível implementar o SGSI de forma planejada objetivando a
minimização/eliminação dos riscos (ABNT ISSO/IEC 27005:2008).
Por exemplo, não é recomendado implementar um Plano de Continuidade

sem que não tenha sido efetuado anteriormente a Análise de Riscos da
3
PDCA (Plan-Do-Check-Act ou Planejar-Fazer-Verificar-Agir) é um método de gestão que se carateriza por um ciclo de
ações que se repete continuamente de forma a incorporar alterações no ambiente.
28
Organização, onde cada ativo da Informação deverá ser analisado, valorado e

classificado conforme a sua importância.
“Esta norma procura personalizar a implementação de controles de

segurança adequados para as necessidades individuais de organizações ou suas
partes, e é utilizada também para avaliar a conformidade pelas partes interessadas
internas ou externas, adotando o modelo conhecido PDCA, estando alinhada as
Normas ABNT NBR ISSO 9001:2000 e ABNT NBR ISO 14001:2004 “(Módulo,2008).
Conforme falado anteriormente o primeiro passo para a implementação do

SGSI é o a definição do Escopo, onde deverá ser explicitado as características
(localização geográfica, ativos, processos) e limites. Neste momento a Norma
possibilita que organização informe qual a área, ou setor onde quer implementar o
SGSI, mas é necessário também que ela informe o que ficou de fora do escopo e as
razões para isso.
Segundo a Módulo “As fases Plan-Do do PDCA correspondem às etapas de

construção do SGSI, envolvendo a definição do escopo, elaboração da política de
segurança, desenvolvimento da análise de riscos, formalização da estratégia de
gestão de riscos, documentação e seleção dos controles aplicáveis para reduzir os
riscos quando necessário.” Assim a implantação do SGSI se dá efetivamente nas
duas primeiras fases do PDCA.
As fases Plan-Do ou Planejar e Fazer, estão relacionados às seguintes

ações: “Estabelecer a política, objetivos, processos e procedimentos do SGSI,
relevantes para a gestão de riscos e a melhoria da segurança da informação para
produzir resultados de acordo com as políticas e objetivos globais de uma
organização, Implementar e operar a política, controles, processos e procedimentos
do SGSI.” (Norma ABNT ISO/IEC 27001, 2006).
Isso quer dizer que nestas duas primeiras etapas deverão ser definidos os
limites para implantação do SGSI, fato que vai influenciar em todo processo de
implantação, pois após a definição do escopo, dos ativos deverão ser protegidos,
indicando os responsáveis, as vulnerabilidades e possíveis ameaças é possível
implementar os controles e identificar/eliminar os riscos.
29
É importante ressaltar que nos momentos de decisão haja a participação da

alta direção.
Quanto às fases Check-Act elas estão relacionadas à verificação de que as

medidas de segurança especificadas estão sendo aplicadas, às soluções de
segurança utilizadas e à melhoria contínua do conjunto de segurança, além das
auditorias periódicas de cada componente do sistema.
Estas duas últimas etapas do PDCA correspondem à parte de auditoria e as

ações relacionadas a elas são: “Avaliar e, quando aplicável, medir o desempenho de
um processo frente à política, objetivos e experiência prática do SGSI e apresentar
os resultados para a análise crítica pela direção; executar as ações corretivas e
preventivas, com base nos resultados da auditoria interna do SGSI e da análise
crítica pela direção ou outra informação pertinente, para alcançar a melhoria
contínua do SGSI.” (Norma ABNT ISO/IEC 27001, 2006).
Neste momento o responsável pela Segurança da Informação com o aval da

direção deverá avaliar através de indicadores, relatórios ou outros meios se as
ações propostas no planejamento estão sendo cumpridas e caso não estejam de
acordo com o planejado atualizar os procedimentos ou aplicar as correções cabíveis,
objetivando a melhoria contínua do SGSI.
A Figura 3 ilustra o modelo PDCA e ações pertinentes a cada etapa para

atendimento aos requisitos de segurança de informação.
Figura 3 – Modelo PDCA aplicado aos processos de SGSI.
Fonte: Norma ABNT ISO/IEC 27001:2006.

30
Um bom Sistema de Gestão de Segurança da Informação tem por objetivo

prover uma orientação e apoio à direção para a segurança da informação de acordo
com os requisitos do negócio e com as Leis e regulamentações relevantes.
Através do SGSI será possível identificar as áreas de atuação que merecem

mais atenção, podendo aplicar correções de forma objetiva e transparente para toda
a organização.
Baseado na letra “a” do requisito 4.2.1 – Estabelecer o SGSI, da Norma

ABNT ISO/IEC 27005:2008, no qual estabelece que “A organização deve: Definir o
escopo e os limites do SGSI nos termos das características do negócio, a
organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas
para quaisquer exclusões do escopo” o capítulo cinco descreve a estrutura
organizacional da AGU, bem como dos principais processos e o levantamento dos
ativos que serão envolvidos: equipamentos; sistemas; nome da organização;
estrutura de comunicação (Internet, correio eletrônico); pessoas; serviços; infra-
estrutura de rede interna e externa e documentos classificação da informação.
3.4 A GSIC na Administração Pública Federal
3.4.1 Situação no Executivo
O Decreto nº 5.772, de 08/05/2006 entre outras providências aprovou a

Estrutura Regimental do Gabinete de Segurança Institucional da Presidência da
República e criou, também, o Departamento de Segurança da Informação e
Comunicações – DSIC.
Segundo o Decreto nº 5.772, “o Gabinete de Segurança Institucional é um

órgão essencial da Presidência da República e tem como área de competência os
seguintes assuntos:
- assistência direta e imediata ao Presidente da República no desempenho

de suas atribuições;
- prevenção da ocorrência e articulação do gerenciamento de crises, em

caso de grave e iminente ameaça à estabilidade institucional;
31
- assessoramento pessoal ao Presidente da República em assuntos militares

e de segurança;
- coordenação das atividades de inteligência federal e de segurança da

informação;
- segurança pessoal do Chefe de Estado, do Vice-Presidente da República e

dos respectivos familiares, dos titulares dos órgãos essenciais da Presidência da
República e de outras autoridades ou personalidades quando determinado pelo
Presidente da República, assegurado o exercício do poder de polícia; e
- segurança dos palácios presidenciais e das residências do Presidente da

República e do Vice-Presidente da República, assegurado o exercício do poder de
polícia.”
A Figura 4 apresenta o Organograma do Gabinete de Segurança

Institucional da Presidência da República – GSI.
Figura 4 – Organograma do GSI.

32
Fonte: Palestra “Projetos SIC e Conceitos” – 11º Seminário de SIC.
O organograma apresenta que abaixo da Secretaria Executiva do GSI,

existe o Departamento de Segurança da Informação e Comunicações – DSIC.
De acordo com a Instrução Normativa nº 01 de 13 de junho de 2008,
compete ao DSIC:
“I - planejar e coordenar as atividades de segurança da informação e

comunicações na Administração Pública Federal, direta e indireta;
II - estabelecer normas definindo os requisitos metodológicos para

implementação da Gestão de Segurança da Informação e Comunicações pelos
órgãos e entidades da Administração Pública Federal, direta e indireta;
III - operacionalizar e manter centro de tratamento e resposta a incidentes

ocorridos nas redes de computadores da Administração Pública Federal, direta e
indireta, denominado CTIR.GOV;
IV - elaborar e implementar programas destinados à conscientização e à

capacitação dos recursos humanos em segurança da informação e comunicações;
V - orientar a condução da Política de Segurança da Informação e

Comunicações na Administração Pública Federal, direta e indireta;
VI - receber e consolidar os resultados dos trabalhos de auditoria de Gestão

de Segurança da Informação e Comunicações da Administração Pública Federal,
direta e indireta;
VII - propor programa orçamentário específico para as ações de segurança

da informação e comunicações.”
O DSIC é precursor do conceito de Segurança da Informação e das

Comunicações e tem como Missão: “Promover a competência da APF brasileira em
Segurança da Informação e das Comunicações”.
Amparando as atividades do DSIC existem três Coordenações: A

Coordenação-Geral de Gestão de SIC (CGSIC), a Coordenação-Geral de
33
Tratamento de Incidentes de Redes (CTIR), e a Coordenação-Geral do Sistema de

Segurança e Credenciamento (SISC).
Um dos maiores desafios do DSIC é a disseminação da cultura de SIC, e

desde 2007 vem promovendo planos de sensibilização e capacitação para os
servidores e funcionários dos diversos órgãos da Administração Pública Federal.
A Figura 5 sumariza a estratégia em desenvolvimento para disseminar a

cultura de SIC na Administração Pública Federal adotada pelo DSIC. Isto representa
a importância que vem adquirindo a GSIC na APF.
Figura 5 – Estratégia para cultura de SIC na APF.
Fonte: Palestra “Projetos SIC e Conceitos” – 11º Seminário de SIC.
A meta da estratégia que vem sendo aplicada é sensibilizar todos os

900.000 servidores públicos (entre civis e militares) sobre a importância da SIC.
Através de Seminários que vem sendo realizados nas capitais do país o DSIC
espera conscientizar sobre a importância da SIC nas atividades rotineiras dos
90.000 Agentes Públicos. Quanto a Capacitação, a meta é capacitar 9.000
servidores públicos para o exercício das funções de Gestão de SIC nos órgãos
públicos. E finalmente quanto a Especialização, o objetivo é especializar 900
34
Servidores nas atividades de planejar e coordenar a gestão de SIC nos órgãos

públicos (Simião, 2008).
Segundo Simião (2008) os passos para implantação da Gestão de SIC na

APF são os seguintes:
 Implementar a Política de Segurança da Informação e das

Comunicações (PSIC) – Caberá a autoridade máxima do órgão aprovar a
Política de Segurança da Informação, onde deverá ser definido o escopo de
onde se pretende implantar a PSIC e os limites, deverá ser nomeado o
Gestor de Segurança, e criado o Comitê Gestor de Segurança no órgão, no
qual deverão auxiliar a autoridade máxima, na elaboração e implementação
da PSIC.
 Montar Infra-estrutura de Segurança da Informação e das

Comunicações – A Autoridade Máxima do Órgão deverá criar condição
para seja instituída uma infra-estrutura mínima de SIC, a fim de apoiar o
Gestor de Segurança no desempenho das suas atribuições;
 Capacitar pessoal em Gestão de Segurança da Informação e das

Comunicações – Elaborar e desenvolver programa de conscientização
sobre SIC para todos os servidores da organização a fim de disseminar a
cultura de SIC; e
 Capacitar pessoal em Gestão de Riscos – a identificação e

administração dos riscos existentes nas organizações são atividades
contínuas, e para implantar a Gestão de Risco é necessário que as
organizações capacitaemr os gestores que irão atuar nesta área.
Dentro do organograma do GSI vale ressaltar também, as atividades do

Comitê Gestor de Segurança da Informação – CGSIC, que é composto por
representantes dos órgãos da APF.
Segundo o art. 4º da Instrução Normativa nº 1 de 13/06/2008, compete ao

CGSIC:
“Art. 4º Ao Comitê Gestor de Segurança da Informação compete:

35
I - assessorar o GSI no aperfeiçoamento da Gestão de Segurança da

Informação e Comunicações da Administração Pública Federal, direta e indireta;
II - instituir grupos de trabalho para tratar de temas específicos relacionados

à segurança da informação e comunicações.”
O DSIC vem desempenhando suas atribuições de forma proativa e coesa. A

publicação da Instrução Normativa nº 01 de 13 de junho de 2008 é o instrumento no
qual regulamenta a SIC junto aos órgãos da APF, e servirá também aos órgãos
competentes como instrumento para auditar as ações que estão sendo
desempenhadas por estes órgãos.
Na próxima seção será falado sobre a situação da Segurança e Governança

na visão do Tribunal de Contas da União (TCU).
3.4.2 Situação da Segurança e Governança na visão do TCU
No primeiro semestre de 2007 o TCU encaminhou um questionário para 333

órgãos/entidades representativas da Administração Pública Federal com o objetivo
de “coletar informações acerca dos processos de aquisição de bens e serviços de
TI, de segurança da informação, de gestão de recursos humanos de TI, e das
principais bases de dados e sistemas da Administração Pública Federal.” (TCU,
2008).
O questionário foi elaborado por analistas da Secretaria de Fiscalização de

Tecnologia da Informação (SEFTI) do TCU e tinha como intuito identificar através do
levantamento “um mapa com a situação da governança de TI na Administração
Pública Federal”, foi possível identificar também os principais sistemas e bases de
dados da APF.
Dos 333 órgãos/entidades representativas da Administração Pública

Federal, 255 responderam efetivamente ao questionário, entre esses órgãos
constaram ministérios, universidades federais, tribunais federais, agências
reguladoras, autarquias, secretarias, departamentos e empresas estatais.
36
Como conclusão do levantamento, foi constatada que as respostas dos

órgãos indicam uma necessidade de maior atenção ao tema Segurança da
Informação.
A Figura 6 apresenta o Gráfico que resume as deficiências encontradas no

tratamento de segurança da informação, indicando para cada questão qual o
percentual de órgãos/entidades que informaram não executar o controle associado.
A linha vertical é o percentual de repostas e a linha horizontal corresponde às

questões relativas a SI.
Figura 6 – Gráfico Deficiências na Segurança da Informação na APF Brasileira.
Fonte: Acórdão TCU Nº TC-008.380/2007-1.
Segue abaixo detalhamento das questões relativas a SI e o percentual

respondido.
- PCN (88%) - significa que 88% dos órgãos responderam que não têm um
Plano de Continuidade de Negócios o que indica um alto risco para a Segurança das
37
Informações. O Plano de Continuidade de Negócio segundo a Norma ABNT ISO/IEC

27001:2006 objetiva não interrupção do negócio e preservação dos processos
críticos da organização quanto a Segurança da Informação.
- Gestão de Mudanças (88%)- significa que 88% dos órgãos não adotam a
Gestão de Mudança o que representa um nível alarmante, pois incide na
indisponibilidade e falhas de segurança que pode acontecer no tratamento das
informações quando houver mudanças. Outra observação constatada pelo
levantamento é que no momento da auditoria ou investigação de algum incidente, se
não houver a gestão de mudança não tem como identificar as possíveis causas.
- Classificação da Informação (80%) - significa que 80% dos entrevistados

não fazem a classificação da informação em seu órgão, é muito preocupante, pois a
Classificação da Informação é um dos princípios da SI, o que indica que as
informações não estão protegidas adequadamente na maioria dos órgãos.
- Gerência de Incidentes (76%) - também indica a ausência deste controle

em 76% dos órgãos questionados. Segundo a conclusão do Acórdão do TCU, os
incidentes acontecem independentes de existir uma área para tratar deles, mas cabe
ressaltar que a ausência de Gerência Incidente, impede que os incidentes sejam
identificados e tratados corretamente.
- Análise de Riscos de TI (75%) - significa que 75% dos órgãos não fazem
gestão de riscos. Basicamente para implementar a SGSI, é necessário efetuar a
gestão de risco, este retrato indica que este órgãos não conhecem os riscos, o que
permite que seus ativos fiquem vulneráveis.
- Área específica para SI (64%) - indica que 64% dos órgãos não tem na
sua estrutura uma área para Segurança da Informação.
- PSI (64%) - indica que 64% dos órgãos questionados não implementaram
a Política de Segurança da Informação. A PSI é uma das primeiras etapas que deve
ser elaborada para implantação do SI, o PSI é o documento que fornece as
diretrizes e políticas, definindo as competências e responsabilidades.
- Proced. Controle de Acesso (48%) - indica que 48% dos órgãos não têm
implementado as normas para controles de acesso. Segundo a ABNT ISO/IEC
38
27002:2005, os controles de acesso, fazem parte dos requisitos para implantação da

SI, e a não implementação destes controles torna vulnerável as informações
produzidas nestas organizações.
A conclusão apresentada no levantamento efetuado pelo TCU prova que as

respostas dos órgãos indicam uma necessidade de maior atenção ao tema
Segurança da Informação. Dentre as nove questões sobre esse assunto, apenas
uma obteve mais de 50% de resposta positiva.
Com a divulgação deste levantamento por parte do TCU aos órgãos da APF
e com a publicação da Instrução Normativa nº 1 do DSIC, os órgãos competentes,
Tribunal de Contas da União e Corregedoria-Geral da União, dispõe de
instrumentos para cobrar as providencias dos órgãos para implantação da SI.
O retrato da SIC no Governo não é animador, mas embora haja um

percentual alto, devem-se levar em consideração as unidades que já têm implantada
em sua estrutura um SGSI e estas deverão servir de referência e exemplo para os
demais órgãos da APF.
39
4 UMA ANÁLISE DA AGU SOB A ÓTICA DA GSIC
“A Advocacia-Geral da União é a instituição que,

diretamente ou através de órgão vinculado,
representa a união, judicial e extrajudicialmente,
cabendo-lhe, nos termos da Lei Complementar
que dispuser sobre sua organização e
funcionamento, as atividades de consultoria e
assessoramento jurídico do Poder Executivo”
(CF, ART. 131.)
Este capítulo apresenta uma análise da Advocacia-Geral da união (AGU),

que visa produzir uma declaração inicial do escopo que deve ser protegido.
4.1 O que é a AGU
A AGU foi prevista pela Constituição Federal de 1988 e efetivamente criada

em 1993. O artigo 131 da Constituição Federal determina que a AGU seja
responsável pela defesa dos Poderes Executivo, Legislativo e Judiciário e pela
consultoria jurídica dos órgãos do Poder Executivo. A AGU exerce também função
essencial à Justiça, ao lado do Ministério Público, da Advocacia Privada e da
Defensoria Pública.
A AGU atua judicialmente na defesa do interesse público e na luta pelos

direitos da sociedade. As ações movidas pela instituição impedem que milhões de
reais saiam dos cofres da União, mantendo o equilíbrio das contas do governo e a
execução de políticas públicas em áreas como saúde e educação.
Como exemplo de atuação, pode-se destacar as ações civis públicas para

proteger o meio ambiente e o patrimônio histórico-cultural, de recuperação de verbas
públicas desviadas e de reintegração de posse de imóveis invadidos (AGU Notícias,
2008)
O quadro da AGU conta com aproximadamente 10.000 funcionários, entre

membros das carreiras jurídicas – advogados da União, procuradores federais,
procuradores da Fazenda Nacional – e servidores de áreas administrativas. A AGU
está presente em cerca de 2.500 unidades de diversos órgãos distribuídas em todo
país. Por exemplo, em Natal (RN), temos as: Procuradoria da União/RN,
Procuradoria-Federal/RN, Procuradoria-Federal Especializada do INSS/Natal e etc.
40
Os órgãos que compõem a estrutura da AGU, segundo Valente (2008) são

os seguintes:
“i - Advogado-Geral da União é o mais elevado órgão de assessoramento

jurídico do Poder Executivo e exerce a representação judicial da União perante o
Supremo Tribunal Federal.
ii - O Procurador-Geral da União exerce a representação judicial da União

perante os tribunais superiores em quaisquer causas, ressalvadas aquelas de
competência da Procuradoria-Geral da Fazenda Nacional.
iii - A Procuradoria-Geral da Fazenda Nacional presta assessoramento

jurídico e consultoria ao Ministério da Fazenda [funções exercidas pelas
Consultorias Jurídicas nos demais Ministérios] e exerce a representação judicial da
União na execução da dívida ativa de caráter tributário e nas causas de
natureza fiscal. Com a promulgação da Constituição de 1988 a antiga PGFN
passou a exercer a representação judicial de União nas causas de natureza fiscal,
mesmo antes da expedição da Lei Complementar n° 73, de 1993, por força do art.
29, § 5°, do ADCT.
iv - A Consultoria-Geral da União colabora com o Advogado-Geral da União

em seu assessoramento jurídico ao Presidente da República.
v - O Conselho Superior da AGU é composto de membros natos [Advogado-

Geral da União, Procuradores-Gerais da União e da Fazenda Nacional, Consultor-
Geral da União e Corregedor-Geral da União] e de membros eleitos [um
representante de cada Carreira] com mandato de dois anos, e tem funções restritas:
tratar dos concursos de ingresso nas Carreiras da Instituição, organizar listas de
promoções e remoções dos membros efetivos da AGU e decidir sobre estágio
confirmatório.
vi - A Corregedoria-Geral da AGU, conforme a Lei Complementar n° 73, de

1993, tem sua atuação voltada tão somente para os órgãos jurídicos da Instituição,
inclusive os vinculados, e para os membros da AGU, não se ocupando dos demais
órgãos e servidores.
41
vii - As Procuradorias Regionais da União e da Fazenda Nacional se

localizam nas Capitais que sejam sede de Tribunal Regional Federal [Brasília, Rio
de Janeiro, São Paulo, Porto Alegre e Recife].
-
viii As Procuradorias da União e da Fazenda Nacional estão localizadas
nas Capitais dos Estados e no Distrito Federal.
ix - As Procuradorias Seccionais da União e da Fazenda Nacional se

localizam em cidades do interior dos Estados.
x - A Consultoria da União, órgão da Consultoria-Geral da União, é

composta pelos Consultores da União.
xi - As Consultorias Jurídicas, localizadas nos Ministérios, exercem as

atividades de consultoria e assessoramento jurídicos no âmbito das respectivas
Pastas.
xii - Os Órgãos Vinculados à AGU são responsáveis pela representação

judicial e extrajudicial e pelas atividades de consultoria e assessoramento jurídicos
das autarquias e fundações federais.”
Com a publicação da Lei nº 10.480 de 2002, fica criada a Procuradoria-Geral

Federal (PGF), “órgão autônomo vinculado à Advocacia-Geral a União. A PGF é
responsável pela representação judicial e extrajudicial dos órgãos da Administração
indiretas, que são as autarquias e fundações federais.” (Valente, 2008).
Segundo a Lei Orgânica a AGU está dividida entre órgãos de direção e

execução. Os órgãos de direção são: Advogado-Geral da União, Procuradoria-Geral
da União, Procuradoria-Geral da Fazenda Nacional, Consultoria-Geral da União,
Conselho Superior da Advocacia-Geral da União e Corregedoria-Geral da Advocacia
da União. Os órgãos de execução são: Procuradorias-Regionais da União,
Procuradorias Regionais da Fazenda Nacional, Procuradorias da União nos Estados
e no Distrito Federal, Procuradorias da Fazenda Nacional nos Estados e no Distrito
Federal, Procuradorias-Seccionais da União, Procuradorias-Seccionais da Fazenda
Nacional, Consultoria da União e Consultoria Jurídicas nos Ministérios. A Figura 7
apresenta o Organograma da AGU com seus órgãos de execução e direção.
42
Figura 7 — Organograma da AGU
Fonte: Site da AGU (http://www.agu.gov.br) acessado em 03/10/2008
4.2 Os processos da AGU
Para configurar as soluções que privilegiem uma visão transversal da

organização, a Fundação Getúlio Vargas realizou um trabalho de consultoria em
2001/2002 (Valente, 2008), onde se destacam como principais processos de
trabalho da AGU:
 Processo Contencioso;
 Processo Consultivo;
 Processo Correcional;
 Processo Capacitação; e
 Processo Administrativo.
43
Com relação ao Processo Contencioso, “a atuação da AGU se dá por meio

da representação judicial e extrajudicial da União (Poderes Executivo, Legislativo e
Judiciário, e dos órgãos públicos que exercem função essencial à justiça), além de
suas autarquias e fundações públicas” (Site da AGU, 2008)”.
Embora a AGU represente judicialmente e extrajudicialmente os três

Poderes, não tem vinculação a nenhum deles. Todas as Ações que são impetradas
contra a União, as Autarquias e Fundações, cabem a AGU defender. Por exemplo:
Ações contra o INSS, Mandados de Segurança contra autoridades (Presidente da
República, Ministros, Secretários Executivos e etc) serão defendidos pela AGU.
Segundo informado no Portal da AGU (2008), “a representação judicial é

exercida em defesa dos interesses dos referidos entes nas ações judiciais em que a
União figura como autora, ré ou, ainda, terceira interessada.” Caberá aos
profissionais da área jurídica da AGU defender ou interpor uma ação, quando esta
for de interesse da União, Autarquias ou Fundações.
Os profissionais da área jurídica são os responsáveis pelo exercício das

atividades de representação. São eles: os Advogados da União, os Procuradores da
Fazenda Nacional e os Procuradores Federais, cada qual na sua respectiva área de
atuação.
Segundo o Site da AGU (2008), a atuação consultiva, relacionada ao

Processo Consultivo “se dá por meio do assessoramento e orientação dos
dirigentes do Poder Executivo Federal, de suas autarquias e fundações públicas,
para dar segurança jurídica aos atos administrativos que serão por elas praticados,
notadamente quanto à materialização das políticas públicas, à viabilização jurídica
das licitações e dos contratos e, ainda, na proposição e análise de medidas
legislativas (Leis, Medidas Provisórias, Decretos e Resoluções, entre outros)
necessárias ao desenvolvimento e aprimoramento do Estado Brasileiro” .
As atividades inerentes ao processo Consultivo estão relacionadas a

elaboração de pareceres consultivos, para subsidiar os atos praticados pelas
autoridades dos ministérios, autarquias e fundações em relação a processos
administrativos, processo de licitação e contratação e etc. Por exemplo, a
44
contratação de uma nova rede para um ministério, após a elaboração do processo,

caberá a Consultoria Jurídica do Ministério manifestar-se sobre o processo.
“Além disso, desenvolvem-se atividades de conciliação e arbitramento, cujo

objetivo é o de resolver administrativamente os litígios entre a União, autarquias e
fundações, evitando, assim, a provocação do Poder Judiciário.” A Câmara de
Conciliação e Arbitragem da Administração Federal – CCAF, órgão ligado a
Consultoria-Geral da AGU tem um importante papel perante o Estado Brasileiro, o
de solucionar as ações onde a União e os órgãos da Administração Direta conflitam
com os órgãos da Administração Indireta (autarquias e fundações). Temos como
exemplo a primeira conciliação alcançada pela CCAF, onde chegou à conclusão de
que o mandado de segurança ajuizado pela Fundação Universidade de Brasília
contra o MEC deveria ser extinto no Superior Tribunal de Justiça (STJ).(Site da
AGU, 2008)
Segundo o site da AGU: “São responsáveis pelo exercício das atividades

consultivas os Advogados da União, os advogados integrantes do Quadro
Suplementar, os Procuradores da Fazenda Nacional e os Procuradores Federais,
cada qual na sua respectiva área de atuação.” Aproximadamente a AGU conta hoje
com cerca de 7.000 profissionais da área jurídica.
Ao Processo Correicional está relacionado às competências da

Corregedoria-Geral da Advocacia da União que estão previstas no art. 5o. da Lei
Complementar n. 73, de 1993 (Lei Orgânica da Advocacia-Geral da União). O
referido dispositivo legal possui a seguinte redação:
"A Corregedoria-Geral da Advocacia da União tem como atribuições:
I - fiscalizar as atividades funcionais dos Membros da Advocacia-Geral da

União;
II - promover correição nos órgãos jurídicos da Advocacia-Geral da União,

visando à verificação da regularidade e eficácia dos serviços, e à proposição de
medidas, bem como à sugestão de providências necessárias ao seu aprimoramento;
III - apreciar as representações relativas à atuação dos Membros da

Advocacia-Geral da União;
45
IV - coordenar o estágio confirmatório dos integrantes das Carreiras da

Advocacia-Geral da União;
V - emitir parecer sobre o desempenho dos integrantes das Carreiras da

Advocacia-Geral da União submetidos ao estágio confirmatório, opinando,
fundamentadamente, por sua confirmação no cargo ou exoneração;
VI - instaurar, de ofício ou por determinação superior, sindicâncias e

processos administrativos contra os Membros da Advocacia-Geral da União.”
O Corregedor da União e os Corregedores auxiliares realizam correições

periódicas nas unidades da AGU, a fim de fiscalizar se os Membros da AGU e
servidores estão atuando de acordo com as suas atribuições. A Corregedoria cabe
também, quando necessário ou a pedido do Advogado-Geral da União, instaurar
inquéritos administrativos, por exemplo, desvio de função e outros problemas
administrativos da AGU.
O Processo Capacitação está relacionado à atuação da Escola da AGU,

que foi criada com a publicação do Ato Regimental nº 2, de 15 de agosto de 2005, e
“é um órgão direto e imediatamente subordinado ao Excelentíssimo Senhor
Advogado-Geral da União, que se destina a ser um centro de capacitação e
disseminação de conhecimentos voltados para o desempenho das atividades
institucionais da Advocacia-Geral da União.” (Site da EAGU, 2008).
O Processo Administrativo está ligado às atividades de administrar,

planejar, coordenar e supervisionar a execução das ações de organização e
modernização administrativa, bem como as relacionadas com os sistemas federais
de planejamento e de orçamento, de administração financeira, de contabilidade, de
administração dos recursos de informação e informática, de recursos humanos, de
serviços gerais e de documentação e arquivos, no âmbito da Advocacia-Geral da
União (Site da AGU, 2008).
Os processos da AGU podem ser considerados ativos primários, na próxima

seção serão descrito os demais ativos da AGU.
46
4.3 Ativos
Segundo a Norma ABNT ISO/IEC 13335-1:2004 , “ativo é qualquer coisa

que tenha valor para a organização”.
De acordo com a Norma ABNT ISO/IEC 27001:2006, “O SGSI é projetado

para assegurar a seleção de controles de segurança adequados e proporcionados
para proteger os ativos de informação e propiciar confiança às partes interessadas.”
Para implantação de um SGSI é necessário identificar o que se quer

proteger.
Já a Norma ABNT ISO/IEC 27005:2008 informa que a implantação do SGSI

deve ser baseada nos riscos aos quais os ativos da organização estão sujeitos.
Em uma organização há diversos tipos de ativos. A Norma ABNT ISO/IEC

27005:2008 separa os ativos em duas categorias: Primários e de Suporte. Entre os
ativos Primários temos os seguintes grupos:
 Informação: inclui-se aqui as bases de dados e arquivos, contratos e

acordos, documentação de sistema, informações sobre pesquisa, manuais
de usuário, material de treinamento, procedimentos de suporte ou operação,
planos de continuidade do negócio, procedimentos de recuperação, trilhas
de auditoria e informações armazenadas. Dentro da AGU podemos citar
como exemplo de ativos da informação o Caderno de Legislação e o
Caderno de Notas da AGU, onde no primeiro consta em um único
documento as notas remissivas e toda a legislação que rege as atividades
da AGU e no último consta as normas em vigor editadas pelo Advogado-
Geral da União incluindo as ementas dos pareceres aprovados pelo
Presidente da República; e
 Processos e Sistemas: processos são sequências de passos

executados por uma organização. E sistemas de informação são sistemas
que apóiam o funcionamento e execução dos processos. Como exemplos de
ativos: os Sistemas Corporativos da AGU: SICAU, AGUDOC, o Site da AGU
entre outros.
47
Na categoria de ativos de suporte a Norma ABNT ISO/IEC 27005:2008

apresenta um modelo de classificação baseado em 6 tipos, os quais são adaptados
numa classificação proposta abaixo pela autora:
 Software: aplicativos, sistemas, ferramentas de desenvolvimento e

utilitários. Como exemplos os códigos dos aplicativos desenvolvidos pela
AGU;
 Hardware e Redes: equipamentos computacionais, equipamentos de

comunicação, mídias removíveis e outros equipamentos; Exemplos: O
parque computacional da AGU, os servidores de rede do CPD;
 Instalação e Serviços: serviços de computação e comunicações,

utilidades gerais, serviços prediais;
 Pessoal e estrutura organizacional: pessoas e suas qualificações,

habilidades, experiências, cargos e funções. Exemplos: Corpo funcional da
AGU: membros da AGU (Advogados e Procuradores), servidores
administrativos, servidores requisitados e funcionários terceirizados.
 Intangíveis: como a reputação e a imagem da organização.
Podemos considerar que ativo é o que a segurança da informação visa

proteger, pois os ativos agregam valor para as organizações e sendo assim
precisam receber a proteção necessária evitando que incidentes que possam
ocorrer com estes causem prejuízo aos negócios da instituição.
A AGU em relação aos demais órgãos da APF é um órgão recente, tem 15

anos de existência, e nesses 15 anos de história vem adquirindo mais ativos a sua
composição.
A seguir serão detalhados os ativos da AGU.
4.3.1 O atual corpo funcional da AGU
Segundo Valente (2008), no início do seu funcionamento a AGU tinha um

quadro de cargos efetivos de 16 servidores administrativos, atualmente estes são
mais de 1.550, e já foram criados mais 500 cargos para preenchimento por concurso
48
público, perfazendo cerca de 2.050 cargos. Foi realizado concurso público para
provimento de 336 dos 500 cargos novos. Isto indica que AGU é um órgão que
ainda está consolidando sua cultura e práticas organizacionais.
Segundo trabalho realizado pela consultoria da FGV em 2000/2001, foi

sugerido como lotação ideal: o número de 2 administrativos para cada profissional
da área jurídica. A AGU vem trabalhando para aumentar o número Hoje o número
de administrativos não é suficiente para o apóias as atividades dos membros da
AGU, ma há em setembro de 2005 foi criado GT para propor ao Ministério do
Planejamento a criação da carreira de Técnico Administrativo e Analista
Administrativo da AGU.
Quanto aos cargos de Advogado da União, hoje existem 1.533 cargos de

Advogado da União, nestes incluídos os 600 cargos criados pela Lei Complementar
nº 73, de 1993 e os cargos de Assistente Jurídico − providos e vagos − transpostos
para o quadro da AGU e transformados em cargos de Advogado da União (Valente
2008).
Cumpre registrar que, por ato do Advogado-Geral da União (Portaria nº 605,

de 2006), pela primeira vez foi fixada a lotação ideal dos órgãos jurídicos de
direção e de execução da Advocacia-Geral da União, nesta considerados e incluídos
os cargos de Advogado da União e dos profissionais da AGU integrantes do seu
quadro suplementar.
A carreira de Procurador da Fazenda Nacional era composta por 1.200

cargos. A Lei nº 11.457, de 2007, que criou a Secretaria da Receita Federal do Brasil
e atribuiu outras competências à Procuradoria-Geral da Fazenda Nacional, também
criou mais 1.200 cargos de Procurador da Fazenda Nacional, perfazendo o total de
2.400 cargos.
O Quadro de Procuradores Federais conta com 4.252 cargos. O maior

número de cargos da Carreira concentra-se na Procuradoria Federal Especializada
junto ao INSS.
4.3.2 O CPD e o parque computacional da AGU

49
Em, 17 de setembro de 2004, a Comissão de Assessoramento à Gestão

Institucional recomendou, e o Advogado-Geral da União assim determinou a
implantação de um Centro de Processamento de Dados na AGU, a fim de que todos
os sistemas de informação sejam operados em ambiente próprio.
Hoje o CPD da AGU encontra-se em operação e nele rodam os seguintes

serviços: site institucional: www.agu.gov.br, Portal de Informações e Serviços e seus
sistemas departamentais, AGUDOC, SICAU e Correio Eletrônico (Plano Operacional
de Investimentos, 2007)
Quanto ao parque operacional, hoje a AGU encontra-se com

aproximadamente 7.000 estações de trabalho, 466 Notebooks, 1.700 impressoras,
700 leitoras óticas e 130 scanners que atendem os profissionais das carreiras
jurídicas e administrativas em todo o país. As informações relativas às impressoras
foram levantadas no sistema de patrimônio da AGU (LinkData), com o critério da
situação do bem como BOM. Para estações de trabalho e servidores de rede a
consulta foi realizada no Active Diretory (AD)4. Constam ainda do ambiente
computacional : Servidores Risc, Storage (NAS e SAN), Robô Backup, Switch
(Gerenciável, Não Gerenciável e Central Core), HUB (total de 98) e Roteador.
Quanto aos serviços de provimento de canais de comunicação e saída dos

usuários para Internet, estes ainda permanecem prestados pelo Serviço Federal de
Processamento de Dados - SERPRO.
A migração dos canais de comunicação para o CPD terá início após a

assinatura do novo contrato de rede bem a como nova saída para a Internet, já
contratada e sendo utilizada pelos serviços acima descritos.
Os servidores de rede estão hospedados em salas próprias, dotadas de

instalações de ar condicionado, com estrutura para fornecimento ininterrupto de
energia (no-break e gerador).
A infra-estrutura de comunicações é composta por uma rede de voz

(telefonia) e uma rede de comunicação de dados, separadas e independentes,
4 Active Diretory (AD) – “O Active Directory é o serviço de diretórios do Windows Server 2003. Um Serviço de Diretório é um
serviço de rede, o qual identifica todos os recursos disponíveis em uma rede, mantendo informações sobre estes dispositivos
(contas de usuários, grupos, computadores, recursos, políticas de segurança etc.) em um banco de dados e torna estes recur-
sos disponíveis para usuários e aplicações”. (VIDAL, 2006)
50
essas redes compartilham apenas uma parte da infra-estrutura de cabeamento

estruturado, (Plano Operacional e Plano de Investimentos, 2007).
A AGU possui conjunto de aplicações de rede e sistemas de informação

próprios, desenvolvidos tanto interna quanto externamente, sendo o
desenvolvimento respectivamente realizado ou supervisionado pela equipe da
Gerência de Tecnologia da Informação.
4.3.3 SICAU – Sistema Integrado de Controle das Ações da União
O Sistema Integrado de Controle das Ações da União (SICAU) é um banco

de dados da AGU considerado uma ferramenta imprescindível para os advogados e
procuradores que trabalham na defesa judicial dos interesses da União. No SICAU,
é possível obter informações atualizadas das ações judiciais, relatórios gerenciais,
agenda e acompanhamento de audiências e manifestações, pesquisa eletrônica de
processos, alerta sobre prazos via e-mail, enfim, dados imprescindíveis para orientar
a defesa da União.
O SICAU é um sistema importante para a AGU e foi regulamentado através

da: Portarias nº 315 de 11 de junho de 2004, que “estabelece as normas para o
registro de atos no SICAU para as unidades vinculadas a PGU” e da Portaria nº 386
de 23 de outubro de 2006, que “institui o SICAU como o sistema para registro das
ações em que a União, suas Autarquias e Fundações são partes.”
O SICAU foi implantado no final de 2001 apenas nas unidades da AGU e

agora já está sendo utilizado por quase todas as áreas jurídicas da União,
Autarquias e Fundações.
Existem na base do SICAU cerca de 10 milhões de registros (SICAU, 2008)

e após integração à base do INSS, que diariamente recebe algo em torno de mil
novos cadastramentos, esse número chegará aos mais de 20 milhões em dezembro
de 2009.
O sistema funciona com acesso via WEB, ou seja, nos moldes universais da
Internet. Foi desenvolvido inicialmente, para dar suporte gerencial à área jurídica da
AGU. A idéia era que os advogados e procuradores tivessem a seu dispor um banco
de dados com todos os processos em que a União tomasse parte, podendo controlar
51
seus prazos. Aos poucos, novas funções foram acrescentadas. Por exemplo:
podemos citar as funcionalidades em lote: Distribuição e Conclusão de Tarefas.
Outra funcionalidade muito importante é a Integração com a Justiça, através

de convênios que vêm sendo estabelecidos entra a AGU e os órgãos da Justiça vem
sendo possível a Integração entre os sistemas. Hoje o SICAU está integrado aos
sistemas do STF, STJ, TRF 1ª, 2ª, 4ª Região e as Seções Judiciárias em Natal,
Recife, Sergipe e etc.
O SICAU continua sendo permanentemente aperfeiçoado para melhor

atender seus usuários, de acordo com suas percepções e sugestões dos técnicos
que a utilizam.
A expectativa é que a transparência e objetividade dos dados expressos nos

relatórios gerenciais do SICAU divulguem a atuação de advogados e procuradores
da União, para demonstrar o quanto este trabalho representa em valores
economizados e recolhidos aos cofres públicos.
O Quadro 1, apresenta a evolução do SICAU desde a sua concepção até

hoje.
Quadro 1 - Histórico da utilização do SICAU – Crescimento.

Quantidade de
Processos (ao Processos Tarefas Aber- Atividades Reali- Total de Inclu-
Ano
final de cada Incluídos/mês tas/mês zadas/mês sões/mês
ano)
2002 756.278 29.476 43.114 38.479 111.069
2003 1.222.033 32.918 67.457 75.705 176.080
2004 2.148.184 26.450 81.381 94.104 201.935
2005 2.904.945 39.686 146.017 170.054 355.757
2006 3.937.520 52.543 218.172 271.723 542.438
2007 7.469.685 67.390 282.989 393.971 744.350
2008 10.514.072 125.360 480.608 610.591 1.216.559
Fontes: Relatórios Produção da AGU e Processos Cadastrados – SICAU.
4.4 Instalações Físicas da AGU
A Advocacia-Geral da União vem ao longo de sua existência, implantando a

cada passo, órgãos e unidades necessários ao seu integral funcionamento.
Hoje a AGU está distribuída em 2.500 unidades por todo o país, conforme
falado anteriormente. Estas 2.500 unidades estão instaladas em 256 prédios,
52
geralmente em um prédio funcionam mais uma unidade, por ex: Ed. Sede da AGU
tem as seguintes unidades: Gabinete do AGU, Secretaria-Geral de Contencioso,
Procuradoria-Geral da União, Procuradoria-Geral Federal, Consultoria-Geral da AGU
e Secretaria-Geral da AGU.
As Procuradorias Regionais da União, da Fazenda Nacional e Federal, estão

localizadas nas Capitais que sejam sede de Tribunal Regional Federal (Brasília, Rio
de Janeiro, São Paulo, Porto Alegre e Recife).
As Procuradorias da União, da Fazenda Nacional e Federal se localizam nas

Capitais dos Estados e no Distrito Federal
As Procuradorias Seccionais da União, da Fazenda Nacional e Federal

estão localizadas em cidades do interior dos Estados.
No próximo capítulo serão identificados os limites do SGSI da AGU, e

justificado o que será preliminarmente contemplado no escopo do sistema e o que
não será.
53
5 PROPOSTA PRELIMINAR DO ESCOPO PARA IMPLANTAÇÃO DO

SGSI NA AGU
Este capítulo apresenta a proposta preliminar de escopo para implantação

do Sistema de Gestão de Segurança da Informação - SGSI na Advocacia-Geral da
União.
Para o levantamento do escopo foram utilizadas como referências as

Normas: ABNT ISO/IEC 27001:2006, ABNT ISO/IEC 27002:2005 e a ABNT
ISO/IEC 27005:2008.
Para estabelecer o Sistema de Gestão de Segurança da Informação - SGSI

de acordo com a Norma ABNT NBR ISO/IEC 27001:2006 cabe à organização
“definir o escopo e os limites do SGSI nos termos das características do negócio, da
organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas
para quaisquer exclusões do escopo”.
A fim de definir e dimensionar o escopo de um SGSI é imprescindível

identificar aquilo que se quer proteger, suas características, localização, acesso e
ameaças a que está exposto.
É importante ressaltar também, o que não fará parte do escopo preliminar e

justificar as razões.
Diante deste cenário a proposta apresentada neste capítulo traz como

escopo preliminar a Operação e Manutenção do CPD da AGU.
A Operação e Manutenção do CPD foram escolhidos como o escopo por ser

este um processo administrativo e estar dentro da área de atuação da autora. Outro
fator que influenciou na escolha, foi a pequena cultura em segurança da informação
na organização, escolhendo um processo maior, levaria mais tempo para implemen-
tar o SGSI.
Conforme a Seção 7.3 da Norma ABNT ISO/IEC 27005:2008, os critérios

descritos abaixo devem servir como subsídio para escolha do escopo.
 “Os objetivos estratégicos, políticas e estratégias da organização;
 Processos de negócio;
54
 As funções e estruturas da organização;
 Requisitos legais, regulatórios e contratuais aplicáveis à organização;
 A política de segurança da informação da organização;
 A abordagem da organização à gestão de riscos;
 Ativos da Informação;
 Localidades em que a organização se encontra e suas características

geográficas;
 Restrições que afetam a organização;
 Expectativas das partes interessadas;
 Ambiente sociocultural; e
 Interfaces (ou seja: a troca de informação com o ambiente).”
Qual a relação tem o escopo escolhido, Operação e Manutenção do CPD

da AGU com os critérios descritos na ABNT ISO/IEC 27005:2008?
No capítulo anterior a autora descreveu os objetivos, os principais

processos, funções e estruturas da organização. Foram descritas também as
localidades em que a AGU tem representação.
A AGU atua judicialmente na defesa do interesse público e na luta pelos

direitos da sociedade, conforme já detalhado anteriormente. A produção dos
pareceres, notas técnicas e demais informações jurídicas são atividades essenciais
para o desempenho da sua atuação, e a guarda destas informações, bem como os
sistemas que servem de subsídio para auxiliar na sua produção também são
considerados essenciais para a instituição.
Com efeito, em face do novo modelo de administração pública, a informação

e o conhecimento têm um papel preponderante para o sucesso da AGU, sendo
improrrogável a implantação do Sistema de Gestão de Segurança da Informação da
infra-estrutura de Tecnologia da Informação (TI).
A Operação e Manutenção do CPD da AGU têm entre outras

responsabilidades, manter e oferecer serviços por meio da Internet e por outras
redes parceiras, auxiliando o profissional da área jurídica na produção da suas
55
atividades. Com isso a instituição tem extrema preocupação com esses canais de
comunicação, pois além do incomensurável benefício de permitirem conectividade
em âmbito global, também representam, em contrapartida, risco potencial para a-
cessos não autorizados e maliciosos.
Para a manutenção de um nível de segurança adequado nesse ambiente

computacional e preservar os ativos corporativos (descritos no Capítulo 4) de modo
a garantir a integridade, confidencialidade e segurança das informações
institucionais, é imprescindível a implantação de um sistema de gestão de
segurança da Informação, a fim de identificar e adotar de soluções que minimizem
os riscos e evitem prejuízos, não só em relação às questões que envolvem
tecnologia, mas também de ordem financeira e de imagem institucional.
Com a implantação do SGSI no CPD da AGU será possível identificar,

monitorar e controlar os riscos, além de permitir que se faça, em âmbito da Intranet
da AGU, a segmentação da sua rede local em sub-redes, de modo a prover níveis
de segurança seletivos a ambientes de disponibilidade crítica, bem como
estabelecer regras de controle de acesso aos serviços internos e disponíveis na
rede mundial de computadores.
Cabe ressaltar que o SGSI é aderente ao Decreto n.º 3.505, de 13 de Junho

de 2000, que instituiu a Política de Segurança da Informação nos órgãos e entidades
da Administração Pública Federal, onde, nos incisos I e V do seu artigo 3º,
estabelece como objetivos dessa política: “Dotar os órgãos e as entidades da
Administração Pública Federal de instrumentos jurídicos, normativos e
organizacionais que os capacitem cientifica, tecnológica e administrativamente a
assegurar a confidencialidade, a integridade, a autenticidade, o não-repúdio e a
disponibilidade dos dados e das informações tratadas, classificadas e sensíveis”,
além de “Promover as ações necessárias à implementação e manutenção da segu-
rança da informação”.
Quanto ao documento Política de Segurança da AGU, este já foi elaborado

e está aguardando aprovação. A não publicação da PSI pode ser considerada uma
das restrições que afetam a organização, pois no documento constam as regras e
padrões para proteção da informação, e a não publicação deste documento dificulta
56
na hora de aplicar as políticas e sanções para quem faz uso indevido das informa-
ções institucionais.
Em relação ao ambiente sociocultural, a AGU convive bem com as diversas

culturas das diversas localidades onde tem representação. Existe uniformidade nas
áreas de atuação.
Na próxima seção serão apresentadas as Características do Escopo, bem

como a sua localização, a relevância do escopo para o negócio da organização, os
ativos e os sistemas mais críticos.
5.1 Características do escopo: Operação e Manutenção do CPD
5.1.1 Nome e Descrição do Escopo
Nome: Operação e Manutenção do CPD da AGU
São funções e processos da Operação e Manutenção do CPD da AGU:
i) gerenciar os serviços e demais componentes da infra-estrutura do

ambiente computacional;
ii) elaborar rotinas de produção, parâmetros de monitoramento e scripts

de atendimento relativos a serviços e outros componentes da infra-estrutura
do ambiente computacional;
iii) gerenciar e executar rotinas de produção do ambiente computacional e

das soluções de TI por ele suportadas, de acordo com os requisitos
estabelecidos;
iv) definir os requisitos obrigatórios para implantação de soluções de TI,

suas respectivas atualizações e mudanças no ambiente computacional, em
especial quanto à existência de documentação das rotinas de produção, dos
parâmetros de monitoramento e dos scripts de atendimento pertinentes;
v) operacionalizar soluções de TI providas pela Gerência de Tecnologia

da Informação, suas respectivas atualizações e mudanças no ambiente
computacional;
57
vi) manter base de dados estruturada sobre a configuração de

equipamentos, softwares e links de comunicação que constituem o ambiente
computacional (Configuration Management Database – CMDB);
vii) gerenciar os equipamentos centrais da rede AGU e a sua alocação

para soluções de TI e outras finalidades específicas;
viii) manter biblioteca de softwares em uso na rede AGU (Definitive

Software Library – DSL), o que inclui as respectivas mídias de instalação e
documentação;
ix) zelar pela aderência dos bancos de dados aos padrões estabelecidos
pela área de desenvolvimento de sistemas; e
x) executar avaliações dos incidentes de segurança ocorridos no

ambiente computacional, de modo a identificar as causas de problemas e
endereçar as ações preventivas pertinentes.
5.1.2 Localização do escopo
O CPD da AGU está localizado no edifício sede da AGU, situado no Setor

de Indústrias Gráficas, Quadra 06, lote 800, Brasília-DF.
O CPD da AGU está instalado nas dependências da Gerência de

Tecnologia da Informação – GTI, que é a responsável pela manutenção e operação
dos serviços hospedados no CPD, como também, é responsável pelo aquisição,
manutenção do parque computacional da AGU, de acordo com a Portaria nº 1707 de
14 de dezembro de 2007(Portaria Nº 1707, 2007).
5.1.3 Relevância do escopo com o negócio da organização
De acordo com o Anexo A da Norma ABNT ISO/IEC 27005:2008, é

importante destacar os elementos característicos que fazem parte da identidade da
organização. Esses elementos são: O principal propósito da organização, seu
negócio, sua missão, seus valores a estrutura da organização (ABNT ISO/IEC
27005, 2008).
“A Advocacia-Geral da União tem por missão institucional a defesa jurídica

da União no que diz respeito aos insumos básicos necessários ao desenvolvimento
de ações componentes das atividades de consultoria e assessoramento jurídico ao
58
Poder Executivo, representação judicial e extrajudicial da União e correições nos

órgãos jurídicos da AGU e Vinculados.” (Site da AGU, 2008).
Segundo a Lei Complementar n° 73, de 1993 “A Advocacia-Geral da União é

a instituição que representa a União, judicial e extrajudicialmente, cabendo-lhe, ain-
da, as atividades de consultoria.” E qual a relação da atividade fim da AGU com o
escopo Manutenção e Operação do CPD? Será que o escopo escolhido é relevante
para o negócio da organização?
A produção de pareceres, informações e demais trabalhos jurídicos, bem

como o acompanhamento de feitos judiciais de interesse da União caracterizam de
as atividades de contencioso e consultivo da AGU.
Cabe ao escopo Monitoração e Operação do CPD da AGU fornecer suporte

tecnológico à Inteligência da Advocacia Pública. Citando como exemplos de ser-
viços:
- hospedagem e manutenção do SICAU e dos demais sistemas

coorporativos; e
- hospedagem e manutenção dos sites internet e intranet da AGU.
Na próxima seção serão identificados os ativos relevantes que fazem parte

do escopo escolhido.
5.1.4 Ativos Relevantes pertencentes ao escopo
Para realizar o levantamento, a autora fez pesquisa no sistema de patrimô-

nio da AGU (LinkData), com o critério da situação do bem como BOM. Para esta-
ções de trabalho e servidores de rede a consulta foi realizada no Active Diretory
(AD).
A relação de ativos foi divida em ativos primários e ativos de suporte, segun-

do orientações da Norma ABNT ISO/IEC 27005:2008.
A Tabela 1 informa os ativos primários, as quantidades e os tipos, relevantes

para Operação e Manutenção do CPD da AGU.
59
Tabela 1 – Ativos primários relevantes para a Operação e Manutenção do CPD.
Nº Nome do Ativo Quantidade Tipo
01 SICAU 01 Ativo Processos e Sistemas
02 AGUDOC 01 Ativo Processos e Sistemas
03 Outros sistemas coorporativos 07 Ativo Processos e Sistemas
04 Site da AGU (Internet) 01 Ativo Processos e Sistemas
05 Site da REDEAGU (Intranet) 01 Ativo Processos e Sistemas
06 Sistema de Correio Eletrônico da AGU 01 Ativo Processos e Sistemas
07 Active Directory 01 Ativo Processos e Sistemas
Em relação aos outros sistemas corporativos, elencados no item 03 da Ta-

bela 1, merecem destaque os sistemas abaixo:
- SICAP – Sistema de Cálculo e Perícias;
- AGUlivros – Sistema de Coleta de Pedidos de Livros;
- SPC – Sistema de Publicação de Conteúdos;
- Subsídios – Sistema de Subsídios da AGU;
- ESTCONF – Sistema de Estágio Confirmatório;
- Diárias – Sistema de Controle de Diárias e Passagens;e
- Licitação – Controle de Licitações da AGU.
A Tabela 2 apresenta os ativos de suporte relevantes para a Operação e

Manutenção do CPD da AGU.
60
Tabela 2 – Relação dos Ativos relevantes do CPD.
Nº Nome do Ativo Quantidade Tipo
1 Estações de Trabalho do Ed.Sede 1.186 Ativo Hardware e Rede
2 Notebook 123 Ativo Hardware e Rede
3 Impressora Laser 197 Ativo Hardware e Rede
4 Impressora Jato de Tinta 59 Ativo Hardware e Rede
5 Servidor Sisc 56 Ativo Hardware e Rede
6 Servidor Risk 8 Ativo Hardware e Rede
7 Robo de Backup 1 Ativo Hardware e Rede
8 Roteador Ativo Hardware e Rede
9 Storage (NAS e SAN) 2 Ativo Hardware e Rede
10 Switch 8 Ativo Hardware e Rede
11 HUB 98 Ativo Hardware e Rede
12 Sist. Gerencial de Banco de Dados Oracle versão 1 Ativo Software

10G
13 SQL Server Enterprise Edition 1 Ativo Software
14 Windows 2003 Server Enterprise Edition 1 Ativo Software
15 LINUX RED HAT Enterprise V.4.0 1 Ativo Software
16 Office Professional Plus (licenças) 3.000 Ativo Software
17 Equipe do CPD 20 Ativo Pessoal e Estrutura

Organizacional
18 Gerente-Executivo da área de Tecnologia e Infra- 1 Ativo Pessoal e Estrutura

Estrutura Organizacional
19 Gerente de Rede 1 Ativo Pessoal e Estrutura

Organizacional
20 Gerente de Produção 1 Ativo Pessoal e Estrutura

Organizacional
18 CPD – Sala de Operação e Sala Cofre 159,58 m² Ativo Instalação e Serviços
A equipe do CPD é composta por terceirizados que são responsáveis

Operação e Manutenção do CPD.
61
Na próxima seção serão definidos os serviços mais críticos ao escopo.
5.1.5 Serviços mais críticos do escopo
O Sistema Integrado de Controle das Ações da União (SICAU) é um dos

serviços críticos, pois hoje tem cerca de 10.000.000 e mais de 3.000 usuários,
chegando a mais 1.400 acessos simultâneos.
Outro fator que classifica o SICAU como um processo crítico é o histórico de

crescimento, ao ritmo médio de 60% ao ano, conforme demonstrado no Quadro 1 do
capítulo anterior.
A Figura 8 apresenta a tela acesso ao SICAU, que serve com referência.
Figura 8 – Tela de Acesso ao SICAU.
Fonte: Sistema SICAU.
Outro serviço crítico é o sistema de Correio Eletrônico. O servidor de Correio

recebe em média 6000 mensagens por hora. A troca de informações entre as
unidades é um recurso muito utiliza e eficaz.
Na próxima seção será identificado o que ficou de fora do escopo e as ra-

zões para estar de fora.
62
5.2 O que não faz parte do escopo
5.2.1 Processos e ambientes que fazem fronteira com o escopo
Existem outros ativos que deveriam estar incluídos como ativos relevantes
para implantação do SGSI, mas não foram incluídos tendo em vista que a monitora-
ção e manutenção preventiva e corretiva, cabe a Secretaria-Geral da AGU como
gestora do contrato. São eles:
i) monitoramento e Operação do Sistema de ar-condicionado do CPD;
ii) monitoramento do Sistema de Detecção de Incêndio;
iii) monitoramento do Sistema de No-Break;
iv) monitoramento do Sistema de suprimento de energia elétrica;
v) monitoramento do Sistema de água; e
vi) monitoramento do Sistema de telefonia.
Também não fizeram parte do escopo os demais servidores e colaboradores

(terceirizados), que tem lotação em outras unidades localizadas no mesmo edifício.
É importante ressaltar que mesmo fora do escopo, os processos acima são

críticos para o funcionamento do CPD e desta forma ações pró-ativas devem ser
efetivadas no sentido de garantir a continuidade de tais serviços.
5.2.2 Justificativa para os outros ativos não fazerem parte do escopo
Segundo a Norma ABNT ISO/IEC 27001:2006, é importante ao delimitar o

escopo para implantação do SGSI, informar também o que não faz parte do escopo
e as justificativas.
Este item deve ficar bem claro, pois justamente com a descrição do escopo,
ele visa limitar o campo de ação do SGSI. Posteriormente quando houver um
processo de certificação, é fundamental ficar explícito para o auditor. (ABNT ISO/IEC
27001, 2006).
Foram consideradas as seguintes justificativas para a não inclusão do

escopo:
63
- Gestão do Contrato dos ativos ser de responsabilidade de outra área ;
- Tempo reduzido para inclusão dos ativos;e
- Equipe reduzida para efetuar o levantamento, no caso deste levantamento

só a autora desta monografia.
Outro fator a ser ressaltado é que à medida que evolui, o projeto deve ser
revisado e detalhado. Esta revisão é baseada no escopo do projeto, pois a
declaração do escopo conforme falado anteriormente, servirá para futuras decisões.
Cabe ressaltar que a o sucesso da implantação de um Sistema de Gestão

de Segurança da Informação depende da definição do escopo e levando em
consideração tudo aquilo que tiver conexão direta com o escopo a probabilidade de
surgir surpresas desagradáveis no decorrer da implantação será menor.
No decorrer deste capítulo foram descritas as características que fazem

parte para definição preliminar do Escopo para implantação do SGSI na AGU.
Foram descritas também, o que não fazem parte do escopo e as razões para
não fazerem parte.
Para dar continuidade a implantação do SGSI esta monografia poderá servir

de base para trabalhos futuros, e em conjunto com a Norma ABNT ISO/IEC
27001:2006, o gestor de segurança deverá partir para as próximas etapas que serão
detalhadas no capítulo a seguir.
64
6 PRÓXIMAS ETAPAS PARA IMPLANTAÇÃO DO SGSI NA AGU
Este capítulo irá descrever de forma sintética os próximos passos que

devem ser executados para implantação do SGSI na Operação e Manutenção do
CPD da AGU baseado na Norma ABNT ISO/IEC 27001:2006.
6.1 Definir a política para o SGSI
Segundo a Norma ABNT ISO/IEC 27001:2006, após a definição do escopo o

gestor de segurança deverá “definir uma política do SGSI nos termos das ca-
racterísticas do negócio, a organização, sua localização, ativos e tecnologia”, ou se-
ja, definir de forma clara e precisa o documento com as regras, procedimentos e di-
retrizes do Sistema de Gestão de Segurança da Informação.
Embora a Política de Segurança da AGU não tenha sido aprovada e a fim de

não paralisar o projeto de implantação do SGSI, o gestor de segurança deverá
elaborar uma Política de Segurança do escopo escolhido: Operação e Manutenção
do CPD da AGU.
Este documento deverá formalizar os procedimentos para segurança da

informação da Operação e Manutenção do CPD da AGU. Serão definidas regras,
responsabilidades e penalidades para os casos de violação das regras, além de
conter um termo de responsabilidades onde o servidor, funcionário requisitado ou
terceirizado confirma seu conhecimento a respeito das normas ali estabelecidas.
Os termos desta política deverão ser discutidos com os responsáveis pelas

áreas de rede, suporte e desenvolvimento e após a sua definição, a proposta deverá
ser encaminhada para homologação da alta direção.
Tendo em vista a relevância e sensibilidade características do CPD, cabe

ressaltar na Política de Segurança o controle de acesso físico.
O documento também deverá trazer a definição de processos para

tratamento de incidentes, procedimentos para auditoria do código dos sistemas
desenvolvidos pela AGU e procedimentos para auditoria completa de
vulnerabilidades físicas e lógicas.
Se a política implantada for efetiva, ou seja, se ela apresentar as

características necessárias como: simplicidade, comprometimento de todos os
65
envolvidos da organização, exatidão, e estar adequada para todos, certamente ela

obterá alguns benefícios. De acordo com Ferreira e Araújo (2006) os principais
benefícios são classificados de acordo com o prazo, dos quais são:
Curto prazo
• Formalização e documentação dos procedimentos de segurança seguidos

pela empresa;
• Implementação de novos procedimentos e controles;
• Precaução de acessos não autorizados, danos ou interferências do fluxo

dos negócios; e
• Maior segurança nos processos de negócio.
Médio prazo
• Padronização das metodologias de segurança incorporados na rotina da

organização;
• Adequação segura de novos processos do negócio;
• Qualificação dos sistemas de respostas a incidentes;e
• Conformidade com a Norma ABNT ISO/IEC 27002:2005.
Longo prazo
• Retorno do investimento aplicado, por meio da redução de incidentes de-

correntes;
por problemas relacionados à segurança;e
• Solidificação da imagem associada a Segurança da Informação.
6.2 Definir a abordagem de análise e identificar os riscos
Nesta etapa o gestor de segurança deverá definir quais os critérios e

objetivos serão utilizados para análise e/ou avaliação do risco, descrevendo a
metodologia que será aplicada.
Algumas ferramentas podem ser utilizadas para auxiliar esta fase, tais como,
a APR (Análise preliminar de riscos), a TIC(Técnica de incidentes críticos), a SR (Sé-
rie de Riscos), a AE (Arvore de Causas), o WIF (What if/Checklist), a AAF (Análise
66
de árvore de falhas), a AMFE (Análise do modo de falha e efeitos), HAZOP (Estudo

de operabilidade e riscos) entre outras (MORGADO, 2000).
Como sugestão e para facilitar a pesquisa o gestor poderá dividir o CPD em

setores (Produção, Rede, Banco de Dados, Sistemas Corporativos) com a intenção
de identificar o comportamento e os seus principais problemas.
O próximo passo é analisar e avaliar os riscos, e será detalhado na próxima

seção.
6.3 Analisar e avaliar os riscos
Conforme a Norma ABNT ISO/IEC 27001:2006 a próxima etapa a ser

desempenhada pelo gestor de segurança é “identificar os riscos”, efetuando um
levantamento dos ativos dentro do CPD.
Neste momento todos os ativos do CPD deverão ser inventariados,

classificados, e designado formalmente um gestor responsável.
Independente do tipo de risco a ser considerado, uma avaliação de riscos

geralmente inclui os seguintes passos (Ferreira e Araújo, 2006):
• Identificar ameaças que podem causar danos e afetar ativos e operações

críticas. Ameaças incluem ítens como intrusões, crimes, empregados,
insatisfeitos, terrorismo e desastres naturais;
• Estimar a probabilidade da concretização das ameaças, baseado em

informações históricas e julgamento de conhecimentos individuais;
• Identificar e qualificar o valor, susceptibilidade e criticidade da operação e

do ativo que poderá ser afetado se a ameaça se concretizar, a fim de
determinar quais operações e ativos são mais importantes;
• Identificar o custo das ações para eliminar ou reduzir o risco. Isto poderá
incluir a implementação de novas políticas organizacionais e procedimentos,
bem como controles físicos ou técnicos;e
• Documentar os resultados.
67
O documento com os resultados servirá como subsídio para o

desenvolvimento do plano de ação para o tratamento dos riscos identificados e que
será abordado na próxima seção.
6.4 Identificar e avaliar as opções para o tratamento de riscos
Após a identificação, análise e avaliação dos riscos o gestor de segurança

deverá elaborar o plano de ação para o tratamento ou minimização dos riscos.
Os riscos deverão ser categorizados e os mais críticos deverão ser tratados

com prioridade. É fundamental que o plano de ação se inicie por esses riscos, pois a
implementação das alternativas requer disponibilidade de recursos (pessoais e
financeiros). Caso a organização não disponha de recursos, estes riscos deverão
ser minimizados com medidas que reduzam sua freqüência tais como, campanhas
de divulgação sobre a importância da Segurança da Informação, treinamento dos
servidores e funcionários do CPD, instalação sistemas de controle de acesso físico e
etc. A figura 9 ilustra o que acontece com a curva de riscos após essas reduções.
Figura 9 – Linha de Risco.
Fonte: MELO; GUEIROS JUNIOR; MORGADO; 2002.

68
6.5 Selecionar controle para o tratamento de riscos
Com os riscos identificados e categorizados, e o plano de ação com as me-

didas de tratamento destes riscos já providenciados, nesta etapa caberá ao gestor
de segurança implementar controles que assegurarão a redução dos riscos a níveis
aceitáveis.
A seleção de controles pode ser feita a partir da Política de Segurança ou
de outra norma que atenda as necessidades do escopo.
Os controles que deverão ser implementados na Manutenção e Operação do

CPD são:
• Proteção dos dados organizacionais;
• Controle de Acesso (Físico e Lógico com monitoramento e sensoriamento;
• Documento de política de segurança da informação;
• Atribuição de responsabilidades;
• Treinamento e educação em segurança da informação;
• Processamento correto nas aplicações a fim de prevenir erros, perdas,
modificação não autorizada ou mau uso de informações em aplicações;
• Gestão de vulnerabilidades técnicas;
• Gestão de continuidade de negócios;
• Gestão de incidentes de segurança e melhorias.
6.6 Obter aprovação da direção dos riscos residuais propostos
Os riscos que forem identificados e aceitos deverão ser registrados e

informados aos responsáveis por eles.
69
A direção também deverá ter conhecimento destes riscos, e as causas deles

não terem sido tratados ou minimizados.
Na Operação e Manutenção do CPD é imprescindível a implantação de um

sistema que ofereça proteção preventiva para redes corporativas. A Segurança da
rede deve possuir alto desempenho com bloqueio em tempo real contra ataque,
código malicioso e ameaça híbrida. Mas se não for possível a aquisição desse
sistema por restrição orçamentária, caberá ao Gestor de Informática informar os
riscos que o ambiente está sujeito caso não seja adquirido o sistema.
Com a finalização do documento a próxima etapa é “obter autorização da

direção para implementar e operar o SGSI ” (ABNT ISO/IEC 27002, 2005), onde o
gestor deverá levar o documento para alta direção aprovar, e após aprovação,
divulgar para toda a organização. Embora seja uma atividade simples, é uma das
mais importantes do SGSI, pois sem a aprovação da alta direção, a implantação fica
prejudicada.
Após a aprovação o Gestor deverá preparar uma Declaração de

Aplicabilidade, que é o documento com os resumos dos passos anteriores, e
complementa o escopo para certificação. É o “norte” que tem como finalidade, evitar
que se efetue controles desnecessários ou deixe algum ativo desprotegido.
Neste capítulo foram abordadas as outras etapas para a implantação do

SGSI após a definição do escopo Operação e Manutenção do CPD da AGU. Estas
etapas poderão servir como subsídio para trabalhos futuros.
70
7 CONSIDERAÇÕES FINAIS
Embora não tenha uma Política de Segurança formalmente definida, a

Gerência de Tecnologia da Informação da AGU, por intermédio da Gerência-
Executiva de Segurança da Informação e Comunicações – GESIC tem construído
uma base de conhecimento sobre Segurança da Informação e vem realizando
monitoramentos e análises de vulnerabilidades extensivas no ambiente
computacional da AGU.
Ainda existem questões que devem ser rapidamente resolvidas, como a de-
finição de processos para tratamento de incidentes, procedimentos para auditoria do
código dos sistemas desenvolvidos pela AGU e procedimentos para auditoria com-
pleta de vulnerabilidades físicas e lógicas, quando solicitada pelas unidades.
Outro fator que influencia é a falta de pessoal dedicado ao estudo e à

implantação do SGSI tornando o processo demorado.
A implantação de um Sistema de Gestão de Segurança da Informação é di-

fícil de ser realizada e leva tempo para sua concretização. Ela exige apoio da dire-
ção da organização, dedicação e constante qualificação dos profissionais envolvi-
dos.
Antes de dar continuidade com as etapas para implantação do SGSI na

AGU, é aconselhável desenvolver programas de conscientização e de treinamento,
que alcancem todas as pessoas que trabalham na AGU, especialmente aquelas que
acessam assuntos sensíveis e investir em produtos de Segurança da Informação.
A Segurança da Informação apresenta-se não apenas como tendência entre

as organizações e sim como uma área realmente necessária, que pode oferecer um
diferencial competitivo e principalmente garantirá que sempre que uma informação
seja solicitada esta esteja disponível, íntegra, confiável, e também com a sua auten-
ticidade garantida.
71
REFERÊNCIAS BIBLIOGRÁFICAS
ABREU, Dimitri. Melhores Práticas para Classificar as Informações. Módulo e-

Security Magazine. São Paulo, agosto 2001. Disponível no site
http:// www.modulo.com.br. Acessado em: 17/09/2008.
Associação Brasileira de Normas Técnicas - ABNT. Norma ABNT ISO/IEC NBR

27005:2008.
Associação Brasileira de Normas Técnicas – ABNT. Norma ABNT ISO/IEC NBR

27002:2005.
Associação Brasileira de Normas Técnicas - ABNT. Norma NBR-ISO/IEC

27001:2006.
CAUBIT, Rosângela. O que é ISO 27001, afinal? Disponível no site

http: //www.modulo.com.br. Acesso em 18/08/2008.
CERT.BR. Cartilha de Segurança para Internet. Disponível no site:

http://cartilha.cert.br/conceitos/sec7.html#subsec7.1. Acesso em: 13/11/2008.
DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Axcel

Books. Rio de Janeiro, 2000.
DUARTE Júnior, Antonio Marcos. A importância do Gerenciamento de Riscos

Corporativos. UNIBANCO – Global Risk Management. Disponível no site
http://www.risktech.com.br/. Acessado em: 11/09/2008.
Decreto nº 3505, de 13 de junho de 2000.Institui a Política de Segurança da

Informação e dá outras providências.
Decreto nº 4553, de 27 de dezembro de 2002. Dispõe sobre a salvaguarda de

sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras
providências.
Decreto nº 5772, de 08 de maio de 2006 . Aprova a Estrutura Regimental e o

Quadro Demonstrativo dos Cargos em Comissão e das Gratificações de Exercício
em Cargo de Confiança do Gabinete de Segurança Institucional da Presidência da
República, e dá outras providências.
FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de.Política de Se-

gurança da Informação - Guia Prático para Elaboração e Implementação. 1
ed.Rio de Janeiro: Ciência Moderna,2006.
GONÇALVES, Luís Rodrigo de Oliveira. Pequeno histórico sobre o surgimento

das Normas de Segurança, 2003. Módulo Security Magazine. Disponível no site:
http://www.modulo.com.br/pt/page_i.jsp?page=3&catid=2&objid=344&pagenum
72
ber=0&idiom=0. Acessado em 30/08/2008.
Instrução Normativa Nº 1 do Gabinete de Segurança Institucional da

Presidência da República, de 13 de junho de 2008. Disciplina a Gestão de
Segurança da Informação e Comunicações na Administração Pública Federal, direta
e indireta, e dá outras providências.
LAUDON, Kenneth C. e LAUDON, Jane P. Sistemas de Informação Gerenciais.

Prentice Hall; São Paulo, 2004.
Lei Complementar nº 73, de 11 de fevereiro de 1993, instituiu a “Lei Orgânica da

Advocacia-Geral da União.”
Lei Nº 10.480 , de 02 de julho de 2002. Dispõe sobre o Quadro de Pessoal da Advo-

cacia-Geral da União, a criação da Gratificação de Desempenho de Atividade de
Apoio Técnico-Administrativo na AGU – GDAA, cria a Procuradoria-Geral Federal, e
dá outras providências.
MARCONI, Maria de Andrade e LAKATOS, Eva Maria. Fundamentos de Metodolo-

gia Científica; São Paulo: Atlas, 1996.
MELO, Carlos Haddad, GUEIROS JUNIOR, João Marcus Sampaio e MORGADO,

Cláudia do Rosário Vaz. Avaliação de Riscos para priorização do Plano de
Segurança - Congresso Nacional de Excelência em Gestão - Niterói, Rio de
Janeiro, 22 e 23 de novembro de 2002.
MICHAELIS. Moderno Dicionário da Língua Portuguesa. Disponível no site:

http://michaelis.uol.com.br/. Acessado em 10/11/2008.
MORGADO, C.R.V. Gerência de riscos - Rio de Janeiro: SEGRAC – Núcleo de

Pesquisa em Engenharia de Segurança, Gerenciamento de Riscos e Acessibilidade
na UFRJ, 2000
NAKAMURA, Emilio Tissato; GEUS, Paulo Lício. Segurança de Redes: em ambien-

tes cooperativos. 2. ed. São Paulo: Futura, 2003.
NOTÍCIAS, AGU. Reintegração de posse da terra indígena Maraiwatsede com-

pleta quatro anos graças à atuação da AGU. Disponível no site:
http://www.agu.gov.br/noticias/inteiro_teor_noticias.asp?codconteudo=12138&codse
cao=2. Acessado em 13/11/2008.
ONLINE, Folha. Incêndio atinge prédio do INSS em Brasília. Disponível no site:

http://www1.folha.uol.com.br/folha/cotidiano/ult95u116671.shtml. Acessado em
10/11/2008.
Portaria AGU Nº 1707, de 14 de dezembro de 2007. Dispõe sobre as atividades

de tecnologia da informação desenvolvidas no âmbito da Advocacia-Geral da União
e dá outras providências.
73
Portaria AGU Nº 315, de 14 de junho de 2004. Estabelece normas para o registro

de atos no Sistema Integrado de Controle de ações da União - SICAU, e dá outras
providências.
Portaria AGU Nº 386, de 23 de outubro de 2006. Os Titulares das Procuradorias

Regionais Federais, das Procuradorias Federais nos Estados, das Procuradorias
Federais Especializadas e das Procuradorias Federais junto a autarquias e funda-
ções devem adotar todas as medidas para que se viabilize, em parceria técnica com
a Gerência Executiva do SICAU - GESICAU, a implantação plena do SICAU no âm-
bito de sua respectiva Procuradoria.
Relatório Final do GT Metodologia de Gestão de Segurança da Informação para

os órgãos da APF. Disponível no site: http://www.governoeletronico.gov.br acesso:
02/10/2008.
Tribunal de Contas da União. Acórdão 782/2004-TCU - Primeira Câmara.

Disponível no site: http://contas.tcu.gov.br/portaltextual/MostraDocumento?lnk=
(acordao+adj+782/2004+adj+primeira+camara)[idtd][b001] acesso: 17/10/2007.
SÊMOLA, M. Gestão da Segurança da Informação: Uma visão executiva. Editora

Campus, 2003.
SIMIÃO, Reinaldo. Palestra “Projetos SIC e Conceitos” – 11º Seminário de SIC,

2008.
Site da AGU, Disponível no site:http://www.agu.gov.br. Acesso em:30/11/2008.
SISNEMA. Cracker e Hacker: experts trabalhando em sentidos opostos. Dispo-

nível no site: http://www.sisnema.com.br/Materias/idmat014717.htm. Acessado em
10/12/2008.
SHIREY, R. RFC 2828 – Internet Security Glossary. The Internet Society, 2000.
Disponível no site http://www.ietf.org/rfc/rfc2828.txt?number=2828. Acessado em:
08/06/2008.
VALENTE, Maria Jovita Wolney, AGU Normas – Caderno 2. 2008.
VIDAL, Josue. Entendendo Active Directory. Disponível no site:

http://imasters.uol.com.br/artigo/4735/servidores_windows/entendendo_active_direct
ory/. Acessado em 21/07/2009.
WADLOW, Thomas. Segurança de Redes. Editora Campus. Rio de Janeiro,2000.

Monica Costa

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Monica Costa

Enviado por

Direitos autorais:

Formatos disponíveis

UNIVERSIDADE DE BRASÍLIA

INSTITUTO DE CIÊNCIAS EXATAS

MÔNICA COSTA TKACZYK MARTINS

ESTUDOS PRELIMINARES PARA IMPLANTAÇÃO DE

Orientador: Prof. Dr. Jorge Henrique Cabral Fernandes

Brasília, novembro de 2008

MÔNICA COSTA TKACZYK MARTINS

ESTUDOS PRELIMINARES PARA IMPLANTAÇÃO DE

Monografia de Especialização submetida à Universidade de Brasília

Orientador Prof. Dr. Jorge Henrique Cabral Fernandes.

Brasília, novembro de 2008

ESTUDOS PRELIMINARES PARA IMPLANTAÇÃO DE

Mônica Costa Tkaczyk Martins

Monografia de Especialização submetida e aprovada pela Universidade de Brasília

Aprovada em: 23 de junho de 2009

Coordenador do curso: Prof. Dr. Jorge H C Fernandes

“Pode-se vencer pela inteligência, pela

ao meu marido Cassius, que me apoiou e

enfim, a todos que direta ou indiretamente colaboraram para a realização desta

6.1 Definir a política para o SGSI ......................................................................................... 64

A Advocacia-Geral da União (AGU) tem por missão institucional a

Palavras-chave: Sistema de Gestão de Segurança da Informação, ISO 27001, ISO

As a proposed to solve these problems and minimize the deployment of a safety

Nos últimos anos, a Tecnologia da Informação - TI tornou-se cada vez mais

A preocupação do Governo Federal com Segurança da Informação também

A Advocacia-Geral da União mantém uma infra-estrutura de tecnologia que

desastres, etc), fraudes, vazamento de informações, pode causar muitos danos à

Tomando como base a Norma NBR ISO/IEC 27001:2006, que estabelece os

2.1 Objetivo Geral

O objetivo geral deste trabalho é estudar e apontar soluções preliminares

2.2 Objetivos Específicos

A fim de atingir o objetivo geral deste trabalho, a pesquisa foi dividida em

b) Caracterizar a AGU e seus principais processos, ativos e localização

c) Elaborar uma declaração do escopo para um SGSI na AGU.

A Advocacia-Geral da União é o mais elevado órgão de assessoramento

A produção de pareceres, informações e demais trabalhos jurídicos, bem

Desta forma, a implementação do Sistema de Gestão de Segurança da

De forma superficial, também foram identificados pela autora deste trabalho,

 Não há monitoração das áreas por CFTV, o que inviabiliza a

 O crachá utilizado na AGU é passível de falsificação com facilidade,

 Há resistência para o uso de crachá e do botton por parte de alguns

 Não existe equipamento que possibilite detectar armas, objetos

 Inexistência de equipes de gerenciamento de contingência;

 Não há isolamento acústico dos ambientes onde são tratados assuntos

 Não há rotina de verificação da existência de equipamentos eletrônicos

Estes pontos foram motivadores da realização deste trabalho.

Este trabalho utilizou como metodologia o método indutivo de análise

Além da Introdução e dos objetivos Geral e Específicos constantes dos

No Capítulo 3 são apresentados também os principais conceitos do Sistema

descrição do processo de gestão de Riscos constante da Norma ABNT ISO/IEC

No Capítulo 4 é efetuada uma análise da organização estudada, sobre a

Baseado na Norma ABNT ISO/IEC 27002:2005 o Capítulo 5 traz como

Finalmente, no Capítulo 6, são descritos os outros passos que

Essa revisão bibliográfica é composta por quatro partes.

A primeira parte é uma abordagem sobre os principais conceitos que fazem

3.1 O Sistema de Gestão da Segurança da Informação e seus principais

Hoje vivemos na sociedade da informação e é sabido que a informação é o

Tendo em vista este cenário, atualmente as organizações têm se

Os dirigentes estão empenhados em conscientizar seus funcionários,

No outro lado da mesma moeda a segurança da informação requer um

Neste capítulo serão abordados os conceitos sobre os principais

Segundo Michaelis (2008) “Risco é possibilidade de perigo, incerto mas pre-