CÂMARA DOS DEPUTADOS

MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

Relatório de Auditoria nº 01/2015

1. Introdução
Este relatório consolida as avaliações da auditoria de segurança da
informação (SI), prevista no Plano Anual de Controle Interno (PACI) de 2014,
que realizou um levantamento sobre as normas e práticas adotadas na Casa,
considerando os preceitos do processo do COBIT 5 DSS05 – Gerir serviços de
segurança.

Essa ação de controle foi iniciada por uma busca de fontes de boas
práticas globais e nacionais sobre o tema da segurança da informação, além de
uma varredura quanto ao seu contexto na administração pública brasileira,
conforme se verá a seguir.

2. Panorama global da segurança da informação

Em 2014 a empresa Price-Waterhouse-Coopers (PwC), uma das maiores

prestadoras de serviços nas áreas de auditoria, asseguração, assessoria e
consultoria do mundo, conduziu mais uma edição do seu levantamento global do
estado da segurança da informação: The Global State of Information Security
Survey - 20151. Os resultados da pesquisa são baseados nas respostas de mais
de 9.700 executivos da área de TI e de segurança da informação em mais de
150 países. Na pesquisa, a América do Norte responde por 35% dos
respondentes; a Europa, por 34%; a Ásia, por 14%; a América do Sul, por 13%;
a África e o Oriente Médio, por 4%.

Segundo a pesquisa, a taxa média de crescimento anual de incidentes de

segurança da informação detectados foi de 66%, ano após ano, desde 2009,
registrando quase quarenta e três milhões de eventos em 2014. Além disso, os
funcionários das organizações consultadas foram mais citados como os
responsáveis por incidentes dessa natureza. Não são, entretanto, os únicos que
representam ameaças nas organizações: um número crescente de
respondentes da pesquisa vem atribuindo a atuais e a antigos prestadores de
serviços2 a responsabilidade por incidentes de segurança.

1
Disponível em: <http://www.pwc.com/gx/en/consulting-services/information-security-survey/>.
Acesso em: 26 maio 2015.
2
Os incidentes de segurança podem ser ainda mais graves nos casos em que prestadores de
serviços, atuais ou com vínculos encerrados, possuem acesso aos sistemas e à rede
corporativos da organização.
 CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

A pesquisa mostra ainda que os incidentes de origem interna são mais

dispendiosos e prejudiciais do que aqueles praticados por atores externos.
Funcionários e prestadores de serviços, com vínculos vigentes ou expirados,
foram apontados pelos respondentes como os maiores responsáveis por
incidentes dentro das organizações envolvendo quebra de segurança da
informação.

Garantir que a informação esteja segura não é um problema de

responsabilidade apenas das áreas de tecnologia e/ou de segurança das
organizações. Ao contrário, é assunto que envolve todos os escalões. Deve-se
observar que altos executivos ao redor do mundo claramente reconhecem que
as ameaças cibernéticas tornaram-se um sério problema de gestão corporativa
de riscos.

Nesse sentido, de acordo com 60% dos respondentes, os gastos com

segurança no próximo ano irão aumentar, ao passo que menos de 10% afirmam
o contrário. Além disso, mais de 60% afirmam ter medido e revisado suas
políticas e procedimentos de segurança ao longo do ano anterior.

Outro aspecto abordado na pesquisa diz respeito às medidas implantadas

para prevenção, proteção, detecção e resposta a incidentes de segurança da
informação.

Como exemplos de medidas de prevenção, aparecem entre as mais

citadas o alinhamento entre a estratégia de segurança da informação e as
necessidades específicas do negócio, além da existência de um responsável
pela segurança da informação corporativa (Chief Information Security Officer –
CISO) com, respectivamente, 60% e 73% das respostas3. Também merecem
menção as medidas de segurança de acesso, com 59%, e os programas de
conscientização de funcionários, com 51%.

Relativamente à proteção do acervo informacional, a identificação de

ativos da informação sensíveis (conhecimentos sensíveis4) e a classificação dos
dados segundo seu valor para os negócios apareceram, respectivamente, com
54% e 63% das respostas. São resultados significativos, levando-se em conta

3
Foi facultada a escolha de mais de uma opção entre as apresentadas. Por essa razão, os totais
obtidos não necessariamente somam 100%.
4A Agência Brasileira de Inteligência (ABIN) define conhecimento sensível como todo o

conhecimento estratégico que, em função de seu potencial no aproveitamento de oportunidades

ou desenvolvimento nos ramos econômico, político, científico, tecnológico, militar e social, possa
beneficiar a sociedade e o Estado brasileiros. Disponível em:
<http://www.abin.gov.br/modules/mastop_publish/?tac=237>. Acesso em: 26 maio 2015.
 CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

que tais medidas são de difícil implantação e execução, exigindo considerável

grau de maturidade organizacional, notadamente no que diz respeito à gestão
de processos.

No tocante às medidas de detecção de ameaças à segurança da

informação, as ferramentas de detecção de intrusão, detecção de código
malicioso e de acesso ou uso não autorizado, monitoramento e análise
contínuos, e de identificação de vulnerabilidades e de equipamentos não
autorizados foram citadas por aproximadamente 55% das respostas.

Com relação às medidas de resposta a incidentes de segurança, merece

destaque a existência de processo de gestão específico em mais de 60% das
organizações dos respondentes da pesquisa. A utilização de ferramentas do tipo
Security Information and Event Management (SIEM)5, para gestão de eventos e
informações de segurança, foi citada em mais de 60% das respostas. Sistemas
dessa natureza são complexos e sua implantação e uso também exigem
considerável grau de maturidade da organização.

Com base no contínuo aumento dos incidentes de segurança da

informação, bem como no incremento das associações e dependências entre os
diversos sistemas de negócio, o relatório da PwC ressalta a necessidade de
mudança de enfoque quanto à questão da SI. Recomenda, assim, que se
abandone a abordagem clássica, baseada em grande medida na prevenção e
controle passivo, em prol de uma abordagem sistemática baseada na avaliação
dos riscos de segurança da informação aos quais as instituições estão sujeitas.
Dessa forma, os ativos de maior valor para a organização e as ameaças mais
relevantes serão priorizados.

Segundo o relatório, para alcançar essa nova visão, as instituições devem

rever suas estratégias de segurança, abordando de forma mais efetiva as
atividades de gestão corporativa de riscos em conjunto com as tecnologias, com
os processos de trabalho e com as habilidades das pessoas. É citado o modelo
de referência para segurança cibernética do NIST6 (Cybersecurity Framework7)
como um modelo efetivo para essa nova abordagem de segurança baseada em
riscos, ressaltando que ele pode ser utilizado mundialmente, apesar de ter sido

5
Security Information and Event Management (SIEM): sistemas de análise e correlação de
informações de segurança - fornecem análise de alertas de segurança gerados por
equipamentos e aplicações ligados em rede.
6 National Institute of Standards and Technology (NIST): agência do Departamento de Comércio

norte-americano, fundada pelo Congresso Nacional em 1901, com a finalidade de promover a

padronização, a inovação e a competitividade das empresas daquele país em mercados globais.
Disponível em: <http://www.nist.gov>. Acesso em: 22 maio 2015.
7
Disponível em: <http://www.nist.gov/cyberframework>. Acesso em: 22 maio 2015.
 CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

desenvolvido inicialmente para os provedores de infraestrutura crítica dos

Estados Unidos da América. Segundo a pesquisa realizada, 29% dos
respondentes estadunidenses já iniciaram a adoção desse modelo de referência,
enquanto outros 25% pretendem fazê-lo em breve.

O relatório da PwC ressalta ainda que mesmo que essa abordagem

centrada na gestão dos riscos de SI não os elimine totalmente, ela pode
possibilitar que as organizações gerenciem as ameaças por meio de um
processo de tomada de decisão melhor fundamentado, além de aumentar a
eficiência das práticas de segurança e de criar um ambiente de negócios mais
robusto.

3. Padrões em segurança da informação e a família de normas

ISO/IEC 27000

Nas organizações contemporâneas, caracterizadas pelas acentuadas

interações internas e externas, a informação se tornou o ativo mais importante
para os negócios, necessitando ser adequadamente protegida em todas as
etapas de seu ciclo de vida.

As organizações públicas, além das demandas individuais e coletivas pelo

fornecimento e prestação de produtos e serviços cada vez mais ágeis, possuem
obrigações legais (vide, por exemplo, a Lei de Acesso à Informação - LAI)
relativas tanto à transparência de seus atos administrativos quanto à informação
que lhes dá suporte, seja ela produzida, trafegada, armazenada, compartilhada,
classificada ou descartada.

Nesse sentido, a proteção à informação em instituições como a Câmara

dos Deputados adquire contornos singulares, pois ao mesmo tempo em que se
deve preservar ao máximo a informação sensível frente a uma diversidade de
riscos, esteja ela em meio digital ou não, deve-se, por outro lado, garantir a
divulgação da informação de interesse público de forma tempestiva e
transparente.

Em resposta a esses desafios, as diversas comunidades científicas e

profissionais das áreas de tecnologias de informação e comunicação (TI ou TIC),
que são as responsáveis pelos principais meios de armazenamento e de
compartilhamento da informação desde meados do século passado, vêm
continuamente discutindo e amadurecendo conceitos e práticas para as
melhores abordagens corporativas da segurança da informação nas esferas
pública e privada.
 CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

Um dos melhores exemplos globais da consolidação de boas práticas a

respeito da segurança da informação é representado pela família 27000 de
normas técnicas publicadas conjuntamente pela International Standards
Organization (ISO) e pela International Electrotechnical Commission (IEC). Há
mais de quarenta normas publicadas e algumas delas foram traduzidas e
referendadas no Brasil pela Associação Brasileira de Normas Técnicas (ABNT).
Essas normas trazem uma série de definições, princípios, padrões e diretrizes
que podem ser adotados por organizações de qualquer categoria ou porte,
visando à melhoria da segurança de suas informações, dos sistemas e da
infraestrutura de tratamento ou de armazenamento.

Um dos principais objetivos da família 27000 é a criação, no ambiente

corporativo, de um Sistema de Gestão de Segurança da Informação (SGSI). De
acordo com a definição da norma ABNT NBR ISO/IEC 27001, um SGSI é um
sistema, não necessariamente informatizado, de “gestão global, baseado na
abordagem de riscos do negócio, para estabelecer, implementar, operar,
monitorar, analisar criticamente, manter e melhorar a segurança da informação”,
incluindo estrutura organizacional, políticas, atividades de planejamento,
responsabilidades, práticas, procedimentos, processos e recursos.

As principais normas sobre segurança da informação e temas correlatos

que já foram referendadas no Brasil são mostradas no Quadro 1.

Quadro 1 – Principais normas sobre segurança da informação e temas correlatos já

referendadas pela ABNT

Norma Tema Ano da

edição ou da
última revisão

ISO Guia 73 Vocabulário de gestão de riscos 2009

NBR ISO/IEC Requisitos para a implementação de um sistema 2013

27001 de gestão de segurança da informação

NBR ISO/IEC Código de prática para controles de segurança da 2013

27002 informação

NBR ISO/IEC Diretrizes para implantação de um sistema de 2011

27003 gestão da segurança da informação

NBR ISO/IEC Parâmetros para a medição da gestão da 2010

27004 segurança da informação
 CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

Norma Tema Ano da

edição ou da
última revisão

NBR ISO/IEC Gestão de riscos de segurança da informação 2011

27005

NBR ISO/IEC Diretrizes para auditoria de sistemas de gestão 2012

27007 da segurança da informação

NBR ISO/IEC Diretrizes para gestão da segurança da 2009

27011 informação para organizações de
telecomunicações baseadas na ABNT NBR
ISO/IEC 27002

NBR ISO/IEC Governança de segurança da informação 2013

27014

NBR ISO/IEC Tecnologia da informação - Técnicas de 2015

27031 segurança - Diretrizes para a prontidão para
a continuidade dos negócios da tecnologia da
informação e comunicação

NBR ISO 31000 Gestão de riscos - Princípios e diretrizes 2009

NBR ISO 38500 Governança corporativa de tecnologia da 2009

informação

Fonte: Associação Brasileira de Normas Técnicas. Disponível em:

<www.abntcatalogo.com.br>. Acesso em: 26 maio 2015.

Observa-se, dessa forma, que a família de normas 27000 compreende um

corpo robusto de práticas e definições, sendo adotada em todo o mundo.

A fim de aclarar as considerações que serão tecidas neste relatório, cabe

apresentar uma definição sintética do que seja a segurança da informação do
ponto de vista dessas normas:

Segurança da informação é a proteção da informação de vários

tipos de ameaças para garantir a continuidade do negócio,
minimizar o risco ao negócio e maximizar o retorno sobre os
investimentos e as oportunidades de negócio (Norma ABNT
ISO/IEC 27002, 2013, p. x).

Observa-se, portanto, que a SI visa mitigar os riscos aos quais a

informação está sujeita e, desse modo, mitigar os riscos para o próprio negócio,
 CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

otimizando os investimentos e recursos (pessoas, processos, tempo, finanças)

alocados.

Outra preocupação constante da SI é o equilíbrio necessário e essencial

entre as práticas voltadas à segurança e os requisitos e necessidades do
negócio: busca-se proporcionar a segurança de modo tal a não gerar impactos
sobre as operações dos usuários, clientes e demais partes interessadas.

Depreende-se do acima exposto que o objetivo da segurança da

informação é proporcionar confiabilidade aos dados no ambiente corporativo.
Isso permite a tomada de decisões de modo ágil e associado às necessidades
da organização e daqueles com quem ela interage.

4. Segurança da informação sob a ótica do COBIT 5

O COBIT 5, conforme já foi mencionado em relatórios de auditorias

anteriores, é um modelo de referência que visa auxiliar as organizações a atingir
os objetivos de governança e de gestão de suas áreas de TI. Pode-se dizer que
o COBIT, desenvolvido e mantido pela Information Systems Audit and Control
Association (ISACA, entidade sem fins lucrativos), auxilia as organizações a criar
valor a partir da TI ao entregarem os resultados nos prazos definidos e com a
qualidade esperada, balanceando os benefícios às partes interessadas com a
otimização de recursos e mantendo os riscos em níveis aceitáveis.

O COBIT 5, a partir do princípio8 que prevê “Aplicar um modelo único e

integrado de governança e de gestão”, consolidou no documento COBIT 5 for
Security9 um conjunto de boas práticas, antes dispersas em outros modelos da
ISACA, como o Business Model for Information Security (BMIS), o Risk IT e o
Val IT. Todos eles têm orientações advindas dos principais padrões e normas
relacionados à segurança da informação, como a família de normas ISO/IEC

8 O COBIT 5 se baseia em cinco princípios para a governança e a gestão da TI:

I. atender às necessidades das partes interessadas;
II. cobrir toda a organização (fim a fim);
III. aplicar um modelo único e integrado de governança e de gestão;
IV. permitir uma abordagem holística aos temas de governança e de gestão;
V. distinguir de modo eficiente as atividades de Governança e de Gestão (COBIT 5 -
Modelo Corporativo para Governança e Gestão de TI da Organização, 2012, p. 15).
9COBIT 5 for Security é um dos guias profissionais da família de produtos do COBIT 5 com foco
em segurança da informação, fornecendo informações detalhadas e práticas para os
profissionais dessa área e para outras partes interessadas da organização.
 CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

27000, o Standard of Good Practice for Information Security do Information

Security Forum (ISF)10 e o SP800-53ª do NIST.

O documento COBIT 5 for Security define o objetivo da segurança da

informação da seguinte forma:

Assegurar que, dentro da organização, a informação está

protegida contra divulgação para usuários não autorizados
(confidencialidade), contra a modificação imprópria (integridade)
e contra o não acesso quando necessário (disponibilidade)
(ISACA, 2012, p. 19, tradução própria).

O documento detalha cada um dos habilitadores11 de acordo com as suas

perspectivas frente à segurança da informação, como pode ser observado nos
exemplos descritos no Quadro 2.

Quadro 2 – Os sete habilitadores do COBIT 5 e exemplos relacionados à Segurança

da Informação

Exemplos na
Exemplos relacionados à
Habilitador Definição Câmara dos
Segurança
Deputados

Princípios: São estruturados Atos da Mesa n.

em três atividades: 45, 46, 47, 48 e
49, todos de
(1) apoiar o negócio: foco no 2012
São meios para negócio; conformidade com
a tradução do requisitos legais; provimento Portarias da
Princípios, comportamento de informação precisa e em Diretoria-Geral
políticas e desejado em tempo hábil sobre o n. 438, 439, 440
modelos orientações desempenho da segurança e 441, todas de
práticas para a da informação; avaliação 2012
gestão cotidiana das ameaças presentes e
futuras relacionadas à Portaria da
informação; promoção da Diretoria-Geral
melhoria contínua em n. 158, de 2015
segurança da informação;

10 Information Security Forum: organização sem fins lucrativos, contando com empresas de todo
o globo, com vistas a investigar, esclarecer e resolver temas relacionados à segurança da
informação, pela adoção de boas práticas, processos e soluções que atendam as necessidades
de negócios de seus membros. Disponível em: <https://www.securityforum.org/>. Acesso em: 26
maio 2015.
11
Habilitadores (do inglês enablers) são, sob a ótica do COBIT 5, elementos facilitadores da
implementação da governança e da gestão da informação.
 CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

Exemplos na
Exemplos relacionados à
Habilitador Definição Câmara dos
Segurança
Deputados

(2) defender o negócio:

adoção de uma abordagem
baseada em riscos;
proteção da informação
classificada; foco nas
aplicações críticas ao
negócio; desenvolvimento
de sistemas de forma
segura;

(3) promover o
comportamento responsável
em segurança da
informação: atuar de forma
ética e profissional;
fomentar uma cultura
positiva de segurança da
informação.

Políticas: Segurança da
informação; Controle de
acesso; Segurança da
informação pessoal;
Segurança da informação
física e ambiental; Gestão
de Incidentes; Continuidade
de negócios e recuperação
de desastres; Gestão de
ativos; Aquisição de
sistemas de informação,
desenvolvimento de
software e manutenção;
Gestão de fornecedores;
Gestão de operação e
comunicação;
Conformidade; Gestão de
riscos

Descrevem um Processos principais do Uma vez que a

Processos conjunto COBIT 5 relacionados à modelagem de
organizado de segurança da informação: processos ainda
 CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

Exemplos na
Exemplos relacionados à
Habilitador Definição Câmara dos
Segurança
Deputados

práticas e APO13 – Gerir Segurança, não é

atividades para DSS04 – Gerir Continuidade largamente
o atingimento de e DSS05 – Gerir Serviços de utilizada na
determinados Segurança Casa, não se
objetivos e pode assegurar
produzem um Todos os outros processos a existência de
conjunto de do COBIT 5 fornecem ou uma ação
resultados em recebem subsídios de organizada e
apoio ao segurança da informação, continuada, fim
atingimento tornando esse elemento a fim, com todas
geral dos essencial à governança e à as etapas dos
objetivos de TI gestão da informação processos
organizacional previstos pelo
COBIT 5.
Contudo, há
evidências de
algumas etapas
e atividades,
como se verá na
seção 6 deste
relatório

Definição de um Comitê de Comitê Gestor

Gestão de Segurança da de Segurança
São as
Informação (CGSI) e de um da Informação
principais
papel específico para tratar (CGSI), criado
Estruturas entidades de
da segurança da informação pelo Ato da
organizacionais tomada de
corporativa (Chief Mesa n. 47 de
decisão de uma
information security officer - 2012
organização
CISO - Diretor de
Segurança da Informação)

Elementos A segurança da informação Projeto de

essenciais para é praticada cotidianamente campanha e
o sucesso de conscientização
Os usuários receberam dos
Cultura, ética e projetos, planos usuários
orientação suficiente e quanto
comportamento e estratégias, a à
cultura, a ética e detalhada, além de serem segurança da
o incentivados a participar das informação
comportamento iniciativas e ações de SI:
das pessoas e
 CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

Exemplos na
Exemplos relacionados à
Habilitador Definição Câmara dos
Segurança
Deputados

da organização todos são responsáveis pela

são muitas proteção à informação
vezes
subestimados As partes interessadas
como um fator identificam e respondem às
de sucesso nas ameaças ao negócio
atividades de A gestão apoia de forma
governança e proativa e antecipa as
gestão
inovações

Estratégia de segurança da Acervo

informação informacional da
Permeia as Casa
organizações e Orçamento da segurança da
inclui todas as informação
informações
produzidas e Plano de segurança da
informação
usadas. É
necessária para Políticas
manter a
Informação organização em Requisitos de segurança da
funcionamento e informação
bem governada,
sendo que, em Material de conscientização
alguns casos, a Relatórios de avaliação de
informação por segurança da informação
si é o principal
produto da Perfil de risco da informação
organização
Painel de segurança da
informação

Prover uma arquitetura de Infraestrutura de

Incluem a
segurança tecnologia da
infraestrutura, a
informação
Serviços, tecnologia e os Promover conscientização
infraestrutura e aplicativos que em segurança da Ações e
aplicações fornecem à informação recomendações
organização o do Plano
processamento Proporcionar o Estratégico de
e os serviços de desenvolvimento seguro Tecnologia da
 CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

Exemplos na
Exemplos relacionados à
Habilitador Definição Câmara dos
Segurança
Deputados

tecnologia da Fornecer avaliações de Informação e

informação segurança Comunicação
para o período
Prover adequadamente de 2014 a
sistemas seguros e bem 201812
configurados
Atividades
Proporcionar direitos de previstas no
acesso aos usuários Plano de ação
Fornecer proteção em segurança13
adequada contra ataques da informação
externos e tentativas de
intrusão

Prover adequada resposta a

incidentes

Realizar testes de
segurança

Fornecer monitoramento e
serviços de alerta

Estão Governança de segurança Habilidades e

associadas à da informação competências
gestão de dos servidores e
pessoal e são Formulação da estratégia de colaboradores
necessárias segurança da informação quanto a esses
Pessoas, para a
habilidades e conclusão bem- Gestão de riscos da itens
competências informação
sucedida de
todas as Desenvolvimento da
atividades, bem arquitetura de segurança da
como para a informação
tomada de
decisões

12
Aprovado pela Portaria n. 348, de 2014, da Diretoria-Geral. Disponível em:
<https://camaranet.camara.gov.br/web/gestao-estrategica/plano-estrategico-de-tic>. Acesso
em: 10 jun. 2015.
13
Disponível em: < https://camaranet.camara.gov.br/web/seguranca-da-informacao/plano-de-
acao-em-seguranca-de-informacao>. Acesso em: 10 jun. 2015.
 CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

Exemplos na
Exemplos relacionados à
Habilitador Definição Câmara dos
Segurança
Deputados

corretas e para a Operações de segurança da

adoção de informação
medidas
corretivas Avaliação de testes e
informações e conformidade

Fonte: ISACA, COBIT 5 for Security, p.14, tradução própria.

5. Segurança da informação na Administração Pública

brasileira

O Decreto n. 3.505, de 13 de junho de 2000, figura como o primeiro

elemento na lista resultante da pesquisa pelo termo “segurança da informação”
no portal institucional da Câmara dos Deputados. Tal decreto instituiu a Política
de Segurança da Informação nos órgãos e entidades da Administração Pública
Federal (APF), fundamentando-se nas boas práticas globais sobre o tema, tais
como garantia de acesso à informação, implementação de tecnologias, normas,
níveis de segurança e garantias de continuidade de serviços.

Além disso, em seu artigo 2º, II, o decreto apresenta um conceito de

segurança da informação:

II – Segurança da Informação: proteção dos sistemas de

informação contra a negação de serviço a usuários autorizados,
assim como contra a intrusão, e a modificação desautorizada de
dados ou informações, armazenados, em processamento ou em
trânsito, abrangendo, inclusive, a segurança dos recursos
humanos, da documentação e do material, das áreas e
instalações das comunicações e computacional, assim como as
destinadas a prevenir, detectar, deter e documentar eventuais
ameaças a seu desenvolvimento.

Tendo em vista a consolidação dos conceitos ali apresentados e as ações

decorrentes de sua promulgação, pode-se dizer que o Decreto 3.505/2000 é um
marco no que diz respeito à segurança da informação no país.

Oito anos depois, o Plenário do Tribunal de Contas da União (TCU)

promulgou o acórdão n. 1.603/2008, apresentando “[...] informações acerca dos
processos de aquisição de bens e serviços de TI, de segurança da informação,
de gestão de recursos humanos de TI, e das principais bases de dados e
sistemas da Administração Pública Federal”, bem como recomendações
 CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

pertinentes aos temas tratados. Especificamente em relação à segurança da

informação, o acórdão recomendou em seu item 9.1.3 a diversos órgãos, entre
os quais a Câmara dos Deputados (onde tramita sob o processo de número
167.774/2008), que fossem implementados os elementos relativos à segurança
da informação dispostos no Quadro 3.

Quadro 3 – Recomendações do acórdão n. 1.603/2008 acerca de segurança

da informação

Recomendação Exemplos de boas práticas (não são

citados no acórdão)

Gerenciamento da segurança da NBR ISO/IEC 27002 - Código de prática

informação para controles de segurança da
informação

Gestão da continuidade do negócio NBR ISO/IEC 27002, item 14 – Gestão

da continuidade do negócio

Gestão de mudanças NBR ISO/IEC 27002, item 10.1.2 –

Gestão de mudanças

Gestão da capacidade NBR ISO/IEC 27002, item 10.3.1 –

Gestão da capacidade

Classificação da informação NBR ISO/IEC 27002, item 7.2 –

Classificação da informação

Gerência de incidentes NBR ISO/IEC 27002, item 13 – Gestão

de incidentes de segurança da
informação

Análise de riscos de TI NBR ISO/IEC 27005 - Gestão de riscos

de segurança da informação

Área específica para gerenciamento da NBR ISO/IEC 27003 - Diretrizes para

segurança da informação implantação de um sistema de gestão da
segurança da informação

Politica de segurança da informação NBR ISO/IEC 27002, item 5.1 – Política

de segurança da informação

Controle de acesso NBR ISO/IEC 27002, item 11 – Controle

de acessos

Fonte: elaboração própria a partir do acórdão n. 1.603/2008 do Plenário do TCU e das

normas da ABNT.
 CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

No item 9.4.3 desse acórdão, o TCU estabeleceu um processo de trabalho

para a realização de levantamentos dessa natureza em ciclos de dois anos. O
Plenário daquela Corte, posteriormente, promulgou os acórdãos de n.
2.308/2010, 2.585/2012 e 3.117/2014, apresentando os resultados dos
respectivos levantamentos sobre a situação da Governança de Tecnologia da
Informação na Administração Pública Federal. No que diz respeito à segurança
da informação, não foram exaradas recomendações.

Em 2012, foi promulgada a Lei n. 12.527, a chamada Lei de Acesso à

Informação (LAI), que gerou impactos consideráveis sobre a percepção acerca
da segurança da informação no espectro da administração pública no país.
Esses impactos também podem ser categorizados na Câmara dos Deputados,
como se verá na próxima seção deste relatório.

O acórdão n. 1.233/2012, também do Plenário do TCU, por sua vez,

apresentou considerações sobre o tema “Governança Corporativa e Governança
de TI”, e recomendou (item 9.18) a diversos órgãos da Administração Pública14,
entre os quais a Câmara dos Deputados, onde tramita sob o processo de número
114.660/2012, que implementassem os controles relativos à segurança da
informação dispostos no Quadro 4.

Quadro 4 – Recomendações do acórdão n. 1.233/2012 acerca de segurança da

informação

Recomendação Itens do Referências citadas no acórdão

acórdão

Nomeação de responsável 9.13.9.1 e NBR ISO/IEC 27002, item 6.1.3 –

pela segurança da 9.15.12.1 Atribuição de responsabilidade
informação na organização para segurança da informação

Criação de comitê para 9.13.9.2 e NBR ISO/IEC 27002, item 6.1.2 –

coordenar os assuntos de 9.15.12.2 Coordenação de segurança da
segurança da informação informação

14Nesse mesmo ano o Tribunal de Contas da União lançou a quarta edição do guia “Boas
Práticas em Segurança da Informação”, com o intuito de “[...] despertar a atenção para os
aspectos da segurança da informação nas instituições governamentais”. Disponível em:
<http://portal2.tcu.gov.br/portal/pls/portal/docs/2511466.PDF>. Acesso em: 22 maio 2015.
 CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

Recomendação Itens do Referências citadas no acórdão

acórdão

Adoção de processo de 9.13.9.3 e NBR ISO/IEC 27005 – Gestão de

gestão de riscos de 9.15.12.3 riscos de segurança da informação
segurança da informação

Estabelecimento de política 9.13.9.4 e NBR ISO/IEC 27002, item 5.1 –

de segurança da informação 9.15.12.4 Política de segurança da
informação

Estabelecimento da 9.13.9.5 e NBR ISO/IEC 27002, item 7.1.1 –

elaboração de inventário de 9.15.12.5 Inventário de ativos
ativos

Estabelecimento de 9.13.9.6 e NBR ISO/IEC 27002, item 7.2 –

classificação da informação 9.15.12.6 Classificação da informação

Fonte: elaboração própria a partir do acórdão n. 1.233/2012 do Plenário do TCU.

Em 2014, o Plenário do TCU promulgou o acórdão n. 3051, que, entre

outras recomendações, insta ao Gabinete de Segurança Institucional da
Presidência da República (GSI-PR) que:

9.3.1. elabore e acompanhe periodicamente, a exemplo do

realizado na Estratégia Geral de Tecnologia da Informação no
Sisp15 e da Estratégia de TIC no Poder Judiciário, planejamento
que abranja a estratégia geral de segurança da informação para
o setor sob sua jurisdição, envolvendo não somente a tecnologia
da informação, mas também os demais segmentos relacionados
à proteção das informações institucionais;

9.3.2. alerte as organizações sob sua jurisdição que a

elaboração periódica de planejamento das ações de segurança
da informação16 é obrigação expressa prevista no item 3.1 da

15 Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp) do Poder

Executivo Federal, normatizado pelo Decreto n. 7.579, de 11 de outubro de 2011.

16 O Ministro-Chefe do Gabinete de Segurança Institucional da Presidência da República

(GSI/PR), na condição de Secretário Executivo do Conselho de Defesa Nacional (CDN), publicou

no Diário Oficial da União de 12 de maio a Portaria CDN n. 14, de 11 de maio de 2015, que
homologa a "Estratégia de Segurança da Informação e Comunicações e de Segurança
Cibernética da Administração Pública Federal - 2015/2018, versão 1.0". Desdobramento da
Instrução Normativa GSI/PR nº 01/2008, a Estratégia tem por finalidade apresentar as diretrizes
estratégicas para o planejamento de Segurança da Informação e Comunicações e de Segurança
Cibernética no âmbito dos órgãos e entidades da APF, objetivando a articulação e a coordenação
de esforços dos diversos atores envolvidos, de forma a atingir o aprimoramento das áreas no
 CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

Norma Complementar 2/IN01/DSIC/GSIPR17, além de ser boa

prática prevista na NBR ISO/IEC 27.001/2013, item 618, bem
como no Cobit 5, Prática de Gestão APO 13.219.

O acórdão n. 3.117/2014, do Plenário do TCU, apresentou o último

relatório de levantamento da situação da governança de Tecnologia da
Informação. Foram avaliadas 373 organizações públicas federais, categorizadas
em seis grupos:

a) empresas públicas federais e sociedades de economia mista;

b) componentes do Sisp;
c) Poder Judiciário;
d) Poder Legislativo;
e) Ministério Público da União; e
f) Terceiro Setor.

A Tabela 1 sumariza os resultados do levantamento no tocante à

segurança da informação.

Tabela 1 – Resultados do levantamento da situação de governança de TI na APF

relativos à segurança da informação em 2014

Iniciou
plano Adota Adota Não se
Critério para parcialmente integralmente aplica
adotar
(%) (%) (%)
(%)

Realiza avaliação
periódica de segurança 25 25 14 36
da informação

Dispõe de uma política 22 15 51 12

de segurança da

Governo e a mitigação dos riscos aos quais estão expostas as instituições, a sociedade e o
Estado. Disponível em: <http://dsic.planalto.gov.br/noticias/475-gsi-pr-publica-estrategia-de-sic-
e-segciber-para-a-apf>. Acesso em: 25 maio 2015.
17 Tem como objetivo definir a metodologia de gestão de segurança da informação e

comunicações utilizada pelos órgãos e entidades da Administração Pública Federal, direta e

indireta.
18 A organização deve conduzir auditorias internas do Sistema de Gestão da Segurança da

Informação (SGSI) em intervalos planejados.

19 Prática de Gestão APO13.02 do COBIT 5 – Definir e gerenciar um plano de tratamento de

riscos à segurança da informação.

 CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

Iniciou
plano Adota Adota Não se
Critério para parcialmente integralmente aplica
adotar
(%) (%) (%)
(%)

informação formalmente
instituída

Dispõe de comitê de
segurança da informação 18 13 49 20
formalmente instituído

Possui gestor de
segurança da informação 21 12 38 29
formalmente designado

Dispõe de política de
controle de acesso 26 19 33 22
formalmente instituída

Dispõe de política de
cópias de segurança
26 27 27 20
(backup) formalmente
instituída

Fonte: Elaboração própria a partir do relatório do acórdão n. 3.117/2014, TCU.

Sobre o cenário da segurança da informação nas organizações

pesquisadas o relatório conclui, entre outros tópicos, que:

226. A despeito da evolução identificada no período 2012 a

2014, o nível de adoção das práticas apresentadas está muito
distante do esperado, situação que revela a existência de
lacunas na coordenação e na normatização da gestão
corporativa da segurança da informação e que expõe a APF a
diversos riscos, como indisponibilidade de serviços e perda de
integridade de informações.

227. O uso cada vez mais crescente da TI na execução dos

processos organizacionais, em especial dos finalísticos, vem
acompanhado do aumento do risco de segurança da
informação, requerendo maior atenção da APF no
estabelecimento dos processos e controles voltados à proteção
das informações.

6. Segurança da informação na Câmara dos Deputados

 CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

Há quase duas décadas, a preocupação com a segurança da informação

na Câmara dos Deputados já era caracterizada por algumas iniciativas. Por
exemplo, o artigo 2º do Ato da Mesa n. 80, de 1998, previa entre as atribuições
do Comitê Gestor da Internet o estabelecimento de critérios de padronização e
segurança da página institucional da Casa.

Seis anos mais tarde, a Portaria da Diretoria-Geral n. 96/2004 estabeleceu

em seu artigo 4º que:

É da responsabilidade exclusiva do usuário zelar pela correta

utilização do serviço de correio eletrônico, que deverá cuidar e
adotar medidas de segurança, destinadas a preservar o
sigilo sobre sua senha de identificação, para resguardar a
inviolabilidade de sua caixa postal (grifo nosso).

Por sua vez, a Portaria n. 34/2009 da Diretoria-Geral estabelece normas

para utilização dos recursos computacionais providos pela Câmara dos
Deputados e para criação e utilização de senhas e recursos de autenticação.
Entre outras disposições, essa norma estabelece que:

Art. 20. Na utilização das senhas de autenticação, compete ao

usuário observar os procedimentos a seguir indicados, bem
como adotar outras medidas de segurança, de caráter pessoal,
com vista a impedir o uso não autorizado dos recursos
computacionais a partir de sua senha de acesso:

I - Não compartilhar a senha com outra pessoa.

II - Não anotar a senha em local acessível a terceiros.

III - Não utilizar senhas que sejam palavras da língua, nacional

ou estrangeira.

IV - Ao ausentar-se, ainda que temporariamente, durante a

sessão de uso de determinado recurso computacional, o usuário
deverá encerrar a sessão ou efetuar o bloqueio do acesso por
meio de sua senha ou outro recurso robusto de autenticação,
desbloqueando-o quando de seu regresso.

A segurança da informação no ambiente público ganhou maior relevância

em 2012, com a entrada em vigor da LAI. Em atenção a esse diploma legal, e à
luz das orientações e recomendações relativas à segurança da informação
contidas nos acórdãos n. 1.063/2008 e 1.233/2012 do Plenário do TCU, a Mesa
Diretora da Câmara dos Deputados promulgou, em 16 de julho de 2012, os Atos
n. 45, 46, 47, 48 e 49, formalizando na Casa o devido tratamento institucional ao
tema.
 CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

O Ato da Mesa n. 45/2012 trata da aplicação da LAI no âmbito da Casa.

Desse modo, ali estão dispostas regras acerca do acesso à informação e de sua
divulgação, além da responsabilização e da punição de agentes públicos, de
pessoas físicas ou entidades privadas20 nos casos de condutas ilícitas relativas
ao tema. Além disso, o Ato discorre sobre procedimentos para classificação da
informação e para o tratamento de informações pessoais, além de outras
disposições.

O Ato da Mesa n. 46/2012 instituiu a Política de Gestão de Conteúdos

Informacionais da Câmara dos Deputados. Em seu artigo 2º, I, apresenta a
definição de conteúdo informacional:

Toda informação registrada, produzida, recebida, adquirida,

capturada ou colecionada pela Câmara dos Deputados, no
desempenho de sua missão institucional, qualquer que seja seu
suporte.

De forma complementar à definição anterior, o Ato 46/2012 estabelece em

seu glossário que informação é o conjunto de dados aos quais se atribuiu
significado.

Esse ato normativo, que tem como princípios a transparência, a

efetividade, a eficiência, a acessibilidade, a disseminação e a preservação dos
conteúdos informacionais (art. 3º), estabelece, entre os requisitos que deverão
ser atendidos pela Gestão de Conteúdos Informacionais da Câmara dos
Deputados (art. 6º), a definição e a implantação de um modelo de arquitetura de
informação articulado com a gestão estratégica e com a arquitetura de
tecnologias de informação e comunicação, e a preservação dos conteúdos
informacionais para assegurar sua acessibilidade, recuperação e a garantia da
sua autenticidade.

A Política de Segurança da Informação (PSI) da Câmara dos Deputados

foi instituída pelo Ato da Mesa n. 47/2012. Em seu artigo 3º, XV, a PSI define
segurança da informação como a preservação da confidencialidade, integridade,
disponibilidade e autenticidade da informação. Pode-se afirmar que essa
definição sintetiza os termos utilizados pelo Decreto nº 3.505/2000.

A PSI criou (art. 8º) o Comitê Gestor de Segurança da Informação (CGSI),

formado por representantes de todas as Diretorias, da Secretaria de
Comunicação Social e da Secretaria-Geral da Mesa, além de representantes do

20
Pessoa física ou entidade privada que, em virtude de vínculo de qualquer natureza com a
Câmara dos Deputados, tenha acesso a informação sigilosa ou pessoal e a submeta a
tratamento indevido (artigo 30, parágrafo único).
 CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

Centro de Documentação e Informação (Cedi) e do Centro de Informática

(Cenin). Em suma, compete ao CGSI propor, planejar, coordenar, avaliar e
acompanhar ações institucionais de segurança da informação na Casa (art. 8º,
§ 3º).

Por sua vez, o Ato da Mesa n. 48/2012 instituiu a Política de Preservação

Digital da Câmara dos Deputados, a qual abrange (art. 2º):

[...] todos os documentos digitais, nascidos nessa forma ou

digitalizados, produzidos na Câmara dos Deputados ou
recebidos pela Casa, desde que relacionados às atividades
derivadas das suas funções institucionais e missão institucional.

O Ato também declara em seu artigo 4º, IV, que tem como um de seus
objetivos contribuir para a redução do risco em segurança da informação.

O Ato da Mesa n. 49/2012 estabeleceu a Política de Preservação dos

Suportes Físicos dos Conteúdos Informacionais da Câmara dos Deputados,
definindo suporte físico como a base sobre a qual os conteúdos informacionais
são produzidos. Esse ato tem como uma de suas diretrizes (art. 4, IV) a “[...]
articulação com as demais políticas relacionadas à Gestão de Conteúdos
Informacionais, em especial com as políticas de preservação digital e de
segurança da informação”.

Para que seja efetiva, a segurança da informação deve envolver toda a

organização, desde sua estrutura física e funcional até cada um de seus
servidores, individualmente. Por essa razão, em linhas gerais, os Atos da Mesa
supramencionados possuem em comum o fato de atribuírem a responsabilidade
pela segurança da informação a todas as unidades administrativas da Casa e a
seus servidores. Além disso, para estes, também estabelece os direitos de
receber treinamento adequado ao exercício de suas competências na gestão do
ciclo de vida dos conteúdos informacionais e de propor aperfeiçoamentos da PSI
e de seus instrumentos de gestão21.

Em 19 de outubro de 2012, promovendo novo avanço no tratamento do

tema segurança da informação na Casa, a Diretoria-Geral publicou as portarias
n. 438, 439, 440 e 441, as quais estabelecem normas para, respectivamente:

a) autenticação e controle de acesso aos conteúdos

informacionais e aos recursos computacionais;

21
Ato da Mesa n. 46, artigo 12; Ato da Mesa n. 47, artigos 12 e 13; Ato da Mesa n. 48, artigo
20; Ato da Mesa n. 49, artigo 11.
 CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

b) geração, guarda e uso dos registros de segurança dos recursos

computacionais;
c) geração, guarda e acesso a cópias de segurança dos dados
baseados em suporte computacional; e
d) separação de ambientes computacionais de desenvolvimento,
teste, homologação e produção de sistemas de informação.

Em janeiro de 2015, atendendo ao disposto no § 1º do art. 14 do Ato da

Mesa nº 47/2012, o Comitê Gestor de Segurança da Informação apresentou à
alta gestão da Casa o Plano de Ação em Segurança da Informação22, no qual
estão consignados objetivos, ações estruturantes, resultados e benefícios
esperados. Além disso, o plano traz nova definição para segurança da
informação. Nela, é abordado o valor da informação, aspecto de relevância
inegável e crescente:

Segurança da Informação é a proteção da informação frente a

ameaças que podem comprometer seus atributos de
integridade, disponibilidade, autenticidade e confidencialidade,
com o objetivo de resguardar o valor que a informação possui
para um indivíduo ou uma organização (p. 43).

Mais recentemente, o Ato da Mesa n. 25, de 6 de maio de 2015, trata da

delegação de acesso a sistemas de informação. Ainda há que se observar os
potenciais impactos desse Ato para o tratamento de segurança da informação
no tocante aos sistemas e aos processos de trabalho por ele abrangidos.

Em 29 de maio foi publicada a Portaria n. 158/2015 da Diretoria-Geral,

que dispõe sobre os procedimentos para a classificação em grau de sigilo de
informações em poder da Câmara dos Deputados, bem como para a imposição
de restrição de acesso à informação pessoal, além de outras providências. Ali
estão normatizadas algumas disposições previstas no Ato da Mesa n. 45/2012,
especialmente quanto aos temas de classificação da informação.

7. Questionário de avaliação do processo DSS05

Como atividade de suporte aos trabalhos desta auditoria, foi elaborado

um questionário (Apêndice A) abordando as sete práticas de gestão do processo
DSS05 – Gerir serviços de segurança – do COBIT 5 e suas respectivas
atividades de gestão, em número de quarenta e nove. Solicitou-se ao Centro de
Informática que informasse seu grau de atendimento a cada uma dessas

22 Disponível em: <https://camaranet.camara.gov.br/web/seguranca-da-informacao/plano-de-

acao-em-seguranca-de-informacao>. Acesso em: 10 jun. 2015.
 CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

atividades de acordo com a seguinte escala: não se aplica, não adota, iniciou
plano para adotar, adota parcialmente ou adota integralmente.

O Quadro 5 resume as práticas de gestão do processo DSS05 – Gerir

serviços de segurança.

Quadro 5 – Práticas de gestão do processo DSS 05 - Gerir serviços de segurança

Prática de gestão Objetivos

Implementar e manter medidas preventivas, detectivas
e corretivas (especialmente patches de segurança e de
DSS05.01 - Proteger
controles de vírus atualizados) na organização para
contra malware
proteger os sistemas e a tecnologia da informação
contra malware (p.ex., vírus, worms, spyware, spam)
Utilizar medidas de segurança e procedimentos de
DSS05.02 - Gerenciar a
gestão relacionados para proteger a informação em
segurança de rede e de
todos os meios de conectividade
conectividade
Garantir que os endpoints (p. ex., laptops, desktops,
servidores, e outros dispositivos móveis e de rede ou o
DSS05.03 - Gerenciar a software) estão seguros em um nível que é igual ou
segurança de endpoints superior aos requisitos de segurança da informação
processada, armazenada ou transmitida
Garantir que todos os usuários tenham direitos de
DSS05.04 - Gerenciar a
acesso à informação de acordo com seus requisitos de
identidade e o acesso
negócio de modo coordenado com as respectivas
lógico dos usuários
unidades
Definir e implementar procedimentos para conceder,
limitar e revogar acesso a instalações, prédios e áreas
de acordo com necessidades de negócio, incluindo
DSS05.05 - Gerenciar o
emergências. O acesso às instalações, prédios e áreas
acesso físico a instalações
deve ser justificado, autorizado, registrado e
de TI
monitorado. Isso se aplica a todas as pessoas que
entram nas instalações, incluindo o pessoal do quadro,
terceirizados, fornecedores, visitantes e outras pessoas
Estabelecer salvaguardas físicas apropriadas, práticas
DSS05.06 - Gerenciar de contabilização e gestão de inventário sobre ativos
documentos sensíveis e sensíveis de TI, tais como formulários especiais,
dispositivos de saída instrumentos negociáveis, impressoras de propósito
especiais e tokens de segurança
Monitorar a infraestrutura, usando ferramentas de
DSS05.07 - Monitorar a detecção de intrusões, em busca de acessos não
infraestrutura para eventos autorizados e garantir que os eventos estão integrados
relacionados à segurança com o monitoramento e com o gerenciamento de
incidentes
Fonte: COBIT 5 Enabling processes, p. 191-195. Tradução própria.

8. Análise
 CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

Observa-se alinhamento entre as acepções e os propósitos contidos nas

principais normas adotadas na Casa voltadas ao tema da segurança da
informação e as fontes de boas práticas globais e nacionais sobre o tema.

Além das normas citadas anteriormente, há que se destacar também a

página “Governança de TIC” na intranet da Casa23 (CamaraNet), onde se pode
acompanhar o andamento de projetos de TIC e suas entregas. Vários deles são
voltados ou estão intimamente relacionados à segurança da informação,
podendo-se citar como exemplos:

• o Programa de Gestão de Serviços de TIC;

• um estudo de implementação de ferramenta para Security
Information and Event Management (SIEM);
• a aquisição e implantação de ferramenta automatizada para
auditoria de bancos de dados (em fase de implantação);
• a implantação do processo de gerenciamento de níveis de
serviços;
• uma campanha de conscientização dos servidores da Casa quanto
aos temas de segurança da informação;
• o mapa corporativo de papéis e responsabilidades sobre serviços
de TIC.

Cumpre lembrar as ações adotadas pela gestão da Casa, e em particular

pelo Centro de Informática, em atendimento às recomendações expedidas nos
acórdãos 1.603/2008 e 1.233/2012, ambos do Plenário do Tribunal de Contas da
União. Como mostrado anteriormente, esses acórdãos recomendaram a
diversos órgãos da administração pública, incluindo a Câmara dos Deputados,
que implementassem vários controles e práticas relativos à segurança da
informação (Quadros 3 e 4, respectivamente). Nos respectivos processos que
tramitam na Casa, a gestão do Centro informa ter cumprido integralmente essas
recomendações.

Tendo em vista a sensibilidade das respostas prestadas pelo Centro de

Informática ao questionário de apoio a esta ação de controle, elas não serão aqui
apresentadas. Contudo, pode-se observar que a Câmara dos Deputados adota
parte considerável das boas práticas globais e nacionais da área de segurança
da informação, representadas pelas normas da família ISO/IEC 27000 e
correlatas, além do COBIT 5.

23
Disponível em: <https://camaranet.camara.gov.br/web/gestao-estrategica/governanca-de-ti>.
Acesso em: 1 jun. 2015.
 CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

9. Benefícios potenciais da ação de controle

Em cumprimento ao disposto no artigo 3º da Portaria n. 2 da Secretaria

de Controle Interno, de 22 de fevereiro de 2013, registre-se que a ação de
controle ora relatada visa os seguintes benefícios potenciais:

a) melhoria do ambiente de segurança da informação da Câmara dos

Deputados;
b) estímulo para a contínua utilização das boas práticas nacionais e
mundiais relacionadas ao tema e seu aprimoramento na Casa;
c) melhoria da conscientização sobre o tema entre todos os
servidores e em especial entre a alta gestão;
d) criação e fortalecimento de uma cultura organizacional voltada à
segurança da informação;
e) melhoria da imagem institucional.

10. Conclusões

São visíveis os avanços nas áreas de gestão e de governança de TI da

Câmara dos Deputados. Alguns exemplos dessas ações são as normas
expedidas quanto a esses temas, o Plano Estratégico de Tecnologia da
Informação e Comunicação para o período de 2014 a 2018 e a submissão pelo
CGSI, à alta gestão da Casa, do Plano de Ação em Segurança da Informação.

Segurança da informação é um tema que deve mobilizar toda a estrutura

de uma organização. Envolve questões físicas, de instalações, humanas, de
cultura organizacional e de relacionamento com outras instituições. A Câmara
dos Deputados vem desenvolvendo passos consistentes no sentido de
consolidar uma cultura voltada à segurança, tendo criado estruturas de
governança e instituído processos de trabalho voltados a isso.

Uma vez que o ambiente de segurança da informação é

permanentemente mutável, e que os riscos associados a todos os processos de
trabalho possuem um ciclo que envolve diferentes estágios de probabilidades
e/ou de impactos, futuras ações de controle revisitarão o tema da SI, sempre
visando apoiar as ações da gestão e da governança corporativa da Câmara dos
Deputados.

Brasília, 22 de junho de 2015.

 REF:
CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

Apêndice A - Questionário de Avaliação do Processo DSS05 do COBIT 5 - Gerir Serviços de Segurança

Não Iniciou
se Não plano Adota Adota
Prática de gestão e objetivo Atividade
aplic adota para parcialmente integralmente
a adotar
1. Conscientizar sobre software malicioso e reforçar
responsabilidades e procedimentos de prevenção.
2. Instalar e ativar as ferramentas de proteção contra
DSS05.01 - Proteger contra software malicioso em todas as instalações de
malware. processamento, com arquivos de definição de software
mal-intencionado atualizados conforme o necessário
Implementar e manter (de modo automático ou semiautomático).
medidas preventivas, 3. Distribuir todos os softwares de proteção (versão e
detectivas e corretivas correções) utilizando configuração centralizada e
(especialmente patches de gestão de mudanças.
segurança e de controles de 4. Rever e avaliar regularmente informações sobre
vírus atualizados) na novas ameaças potenciais (por exemplo, revisando os
organização para proteger os alertas de segurança dos fornecedores de produtos e
sistemas e a tecnologia da serviços).
informação contra malware 5. Filtrar o tráfego de entrada, como e-mail e
(p.ex., vírus, worms, spyware, downloads, para proteger contra informação não
spam). solicitada (por exemplo, spyware e phishing).
6. Realizar treinamentos periódicos sobre malware em
e-mail e uso da Internet. Treinar os usuários para não
instalar software não aprovado.
DSS05.02 - Gerenciar a 1. Com base na avaliação dos riscos e requisitos de
segurança de rede e de negócio, estabelecer e manter uma política de
conectividade. segurança de conectividade.
2. Permitir que apenas os dispositivos autorizados
Utilizar medidas de segurança tenham acesso às informações e à rede corporativas.
e procedimentos de gestão Configurar esses dispositivos para forçar a solicitação
relacionados para proteger a de senha.
 REF:
CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

Não Iniciou
se Não plano Adota Adota
Prática de gestão e objetivo Atividade
aplic adota para parcialmente integralmente
a adotar
informação em todos os meios 3. Implementar mecanismos de filtragem de rede, como
de conectividade. firewalls e software de detecção de intrusão, com
políticas adequadas para controlar o tráfego de entrada
e de saída.
4. Criptografar informações em trânsito, de acordo com
sua classificação.
5. Aplicar protocolos de segurança aprovados para
conectividade de rede.
6. Configurar equipamentos de rede de forma segura.
7. Estabelecer mecanismos confiáveis para suportar
transmissão e recepção segura de informações.
8. Realizar testes periódicos de penetração para
determinar a adequação da proteção da rede.
9. Realizar testes periódicos de segurança para
determinar a adequação da proteção dos sistemas.

DSS05.03 - Gerenciar a 1. Configurar sistemas operacionais de forma segura.

segurança de endpoints. 2. Implementar mecanismos de bloqueio de
dispositivos.
Garantir que os endpoints (p. 3. Criptografar informações no armazenamento de
ex., laptops, desktops, acordo com sua classificação.
servidores, e outros 4. Gerenciar controle e acesso remotos.
dispositivos móveis e de rede 5. Gerenciar a configuração de rede de forma segura.
ou o software) estão seguros 6. Implementar a filtragem de tráfego de rede em
em um nível que é igual ou endpoints.
superior aos requisitos de
7. Proteger a integridade dos sistemas.
segurança da informação
8. Fornecer proteção física de endpoints.
processada, armazenada ou
transmitida. 9. Descarte de endpoints de forma segura.

CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
Prática de gestão e objetivo
DSS05.04 - Gerenciar a
identidade e acesso lógico
dos usuários.
Garantir que todos os
usuários tenham direitos de
acesso à informação de
acordo com seus requisitos de
negócio de modo coordenado
com as respectivas unidades.
REF:
Não Iniciou
se Não plano Adota Adota
Atividade
aplic adota para parcialmente integralmente
a adotar
1. Manter os direitos de acesso de usuário em
conformidade com a função do negócio e os requisitos
do processo. Alinhar a gestão de identidades e de
direitos de acesso com os papéis e responsabilidades
definidos, com base em princípios de "privilégio
mínimo" e necessidades de acesso à informação
sensível.
2. Identificar de modo unívoco todas as atividades de
processamento de informação por papéis funcionais, de
modo coordenado com as unidades de negócios para
garantir que todas as funções são consistentemente
definidas, incluindo papéis que são definidos pelo
próprio negócio dentro dos aplicativos de apoio aos
seus processos.
3. Autenticar todo o acesso a ativos de informação com
base na sua classificação de segurança, coordenando
com unidades de negócio que gerenciam autenticação
dentro de aplicativos usados em seus processos de
negócio para garantir que controles de autenticação
foram administrados corretamente.
4. Administrar todas as alterações nos direitos de
acesso (criação, modificações e exclusão) para que
sejam efetivadas no momento apropriado, com base
apenas em transações aprovadas e documentadas,
autorizadas por indivíduos designados para essa
função.
5. Segregar e gerenciar contas privilegiadas de usuário.
6. Realizar revisão regular de todas as contas e
privilégios relacionados.

CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
Prática de gestão e objetivo
DSS05.05 - Gerenciar o
acesso físico a instalações de
TI.
Definir e implementar
procedimentos para
conceder, limitar e revogar
acesso a instalações, prédios
e áreas de acordo com
necessidades de negócio,
incluindo emergências. O
acesso às instalações,
prédios e áreas deve ser
justificado, autorizado,
registrado e monitorado. Isso
se aplica a todas as pessoas
que entram nas instalações,
incluindo o pessoal do quadro,
terceirizados, fornecedores,
visitantes e outras pessoas.
REF:
Não Iniciou
se Não plano Adota Adota
Atividade
aplic adota para parcialmente integralmente
a adotar
7. Garantir que todos os usuários (internos, externos e
temporários) e a suas atividades em sistemas de TI
(aplicativo de negócios, infraestrutura de TI, operações
de TI, desenvolvimento e manutenção) são unicamente
identificáveis. Identificar univocamente todas as
atividades de processamento de informação por
usuário.
8. Manter uma trilha de auditoria de acesso a
informações classificadas como altamente sensíveis.
1. Administrar o pedido e concessão de acesso às
instalações de TI. Pedidos de acesso devem ser
formalizados e autorizados pela administração da
instalação de TI e os registros de solicitação devem ser
mantidos. Os formulários devem identificar
especificamente as áreas a que os indivíduos têm
acesso concedido.
2. Garantir que os perfis de acesso permaneçam atuais.
Permitir o acesso a instalações de TI (salas de
servidores, edifícios, áreas ou zonas) de acordo com a
função e responsabilidades de trabalho.
3. Registrar e monitorar todos os pontos de entrada
para sites de TI. Registrar todos os visitantes, incluindo
contratados e fornecedores, aos sites.
4. Instruir todo o pessoal para exibir identificação visível
em todos os momentos. Prevenir a emissão de cartões
de identificação ou crachás sem autorização
apropriada.
5. Exigir que os visitantes sejam acompanhados
durante todo o tempo nas instalações. Se for
identificado um indivíduo desacompanhado ou
 REF:
CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI

Não Iniciou
se Não plano Adota Adota
Prática de gestão e objetivo Atividade
aplic adota para parcialmente integralmente
a adotar
desconhecido que não esteja usando identificação
pessoal, alertar o pessoal da segurança.
6. Restringir o acesso a instalações de TI sensíveis,
estabelecendo restrições de perímetro, tais como
cercas, muros e dispositivos de segurança nas portas
interiores e exteriores. Certificar-se que dispositivos
gravam a entrada e acionam um alarme em caso de
acesso não autorizado. Exemplos de tais dispositivos
incluem crachás ou cartões, teclados numéricos,
circuito fechado de TV e scanners biométricos.
7. Realizar treinamento regular sobre conscientização
acerca da segurança física.
1. Estabelecer procedimentos para administrar o
DSS05.06 - Gerenciar recebimento, o uso, a remoção e a eliminação de
documentos sensíveis e formulários especiais e dispositivos de saída que
dispositivos de saída. entram, que permanecem e que saem da organização.
2. Atribuir privilégios de acesso a documentos
Estabelecer salvaguardas confidenciais e dispositivos de saída sensíveis com
físicas apropriadas, práticas base no princípio do "privilégio mínimo", equilibrando os
de contabilização e gestão de riscos com os requisitos de negócios.
inventário sobre ativos 3. Estabelecer um inventário de documentos e
sensíveis de TI, tais como dispositivos de saída sensíveis e realizar conciliações
formulários especiais, regulares.
instrumentos negociáveis, 4. Estabelecer salvaguardas físicas apropriadas sobre
impressoras de propósito formulários especiais e dispositivos sensíveis.
especiais e tokens de 5. Destruir informações sensíveis e proteger os
segurança. dispositivos de saída (por exemplo, desmagnetização
de mídia eletrônica, destruição física de dispositivos de

CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
Prática de gestão e objetivo
DSS05.07 - Monitorar a
infraestrutura para eventos
relacionados à segurança.
Monitorar a infraestrutura,
usando ferramentas de
detecção de intrusões, em
busca de acessos não
autorizados e garantir que os
eventos estão integrados com
o monitoramento e o
gerenciamento de incidentes.
Fonte: COBIT 5 Enabling processes, p. 191-195. Tradução própria.
REF:
Não Iniciou
se Não plano Adota Adota
Atividade
aplic adota para parcialmente integralmente
a adotar
memória, fragmentação de formulários especiais e de
outros documentos confidenciais).
1. Registrar eventos relacionados à segurança
relatados por ferramentas de monitoramento de
segurança de infraestrutura, identificando o nível de
informação a ser gravado com base na ponderação de
risco. Mantê-los durante um período adequado para
auxiliar em futuras investigações.
2. Definir e comunicar a natureza e as características
de potenciais incidentes relacionados à segurança para
que eles possam ser facilmente reconhecidos e seus
impactos entendidos para permitir uma resposta
proporcional.
3. Avaliar regularmente os logs de eventos em busca de
incidentes potenciais.
4. Manter um procedimento para coleta de evidências
em consonância com as normas cabíveis de provas
forenses e certificar-se de que os funcionários estejam
cientes dos requisitos aplicáveis.
5. Assegurar que registros de incidentes de segurança
sejam criados em tempo hábil quando o monitoramento
identificar potenciais incidentes.