Escolar Documentos
Profissional Documentos
Cultura Documentos
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
1. Introdução
Este relatório consolida as avaliações da auditoria de segurança da
informação (SI), prevista no Plano Anual de Controle Interno (PACI) de 2014,
que realizou um levantamento sobre as normas e práticas adotadas na Casa,
considerando os preceitos do processo do COBIT 5 DSS05 – Gerir serviços de
segurança.
Essa ação de controle foi iniciada por uma busca de fontes de boas
práticas globais e nacionais sobre o tema da segurança da informação, além de
uma varredura quanto ao seu contexto na administração pública brasileira,
conforme se verá a seguir.
1
Disponível em: <http://www.pwc.com/gx/en/consulting-services/information-security-survey/>.
Acesso em: 26 maio 2015.
2
Os incidentes de segurança podem ser ainda mais graves nos casos em que prestadores de
serviços, atuais ou com vínculos encerrados, possuem acesso aos sistemas e à rede
corporativos da organização.
CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
3
Foi facultada a escolha de mais de uma opção entre as apresentadas. Por essa razão, os totais
obtidos não necessariamente somam 100%.
4A Agência Brasileira de Inteligência (ABIN) define conhecimento sensível como todo o
5
Security Information and Event Management (SIEM): sistemas de análise e correlação de
informações de segurança - fornecem análise de alertas de segurança gerados por
equipamentos e aplicações ligados em rede.
6 National Institute of Standards and Technology (NIST): agência do Departamento de Comércio
Exemplos na
Exemplos relacionados à
Habilitador Definição Câmara dos
Segurança
Deputados
10 Information Security Forum: organização sem fins lucrativos, contando com empresas de todo
o globo, com vistas a investigar, esclarecer e resolver temas relacionados à segurança da
informação, pela adoção de boas práticas, processos e soluções que atendam as necessidades
de negócios de seus membros. Disponível em: <https://www.securityforum.org/>. Acesso em: 26
maio 2015.
11
Habilitadores (do inglês enablers) são, sob a ótica do COBIT 5, elementos facilitadores da
implementação da governança e da gestão da informação.
CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
Exemplos na
Exemplos relacionados à
Habilitador Definição Câmara dos
Segurança
Deputados
(3) promover o
comportamento responsável
em segurança da
informação: atuar de forma
ética e profissional;
fomentar uma cultura
positiva de segurança da
informação.
Políticas: Segurança da
informação; Controle de
acesso; Segurança da
informação pessoal;
Segurança da informação
física e ambiental; Gestão
de Incidentes; Continuidade
de negócios e recuperação
de desastres; Gestão de
ativos; Aquisição de
sistemas de informação,
desenvolvimento de
software e manutenção;
Gestão de fornecedores;
Gestão de operação e
comunicação;
Conformidade; Gestão de
riscos
Exemplos na
Exemplos relacionados à
Habilitador Definição Câmara dos
Segurança
Deputados
Exemplos na
Exemplos relacionados à
Habilitador Definição Câmara dos
Segurança
Deputados
Exemplos na
Exemplos relacionados à
Habilitador Definição Câmara dos
Segurança
Deputados
Realizar testes de
segurança
Fornecer monitoramento e
serviços de alerta
12
Aprovado pela Portaria n. 348, de 2014, da Diretoria-Geral. Disponível em:
<https://camaranet.camara.gov.br/web/gestao-estrategica/plano-estrategico-de-tic>. Acesso
em: 10 jun. 2015.
13
Disponível em: < https://camaranet.camara.gov.br/web/seguranca-da-informacao/plano-de-
acao-em-seguranca-de-informacao>. Acesso em: 10 jun. 2015.
CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
Exemplos na
Exemplos relacionados à
Habilitador Definição Câmara dos
Segurança
Deputados
14Nesse mesmo ano o Tribunal de Contas da União lançou a quarta edição do guia “Boas
Práticas em Segurança da Informação”, com o intuito de “[...] despertar a atenção para os
aspectos da segurança da informação nas instituições governamentais”. Disponível em:
<http://portal2.tcu.gov.br/portal/pls/portal/docs/2511466.PDF>. Acesso em: 22 maio 2015.
CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
Iniciou
plano Adota Adota Não se
Critério para parcialmente integralmente aplica
adotar
(%) (%) (%)
(%)
Realiza avaliação
periódica de segurança 25 25 14 36
da informação
Governo e a mitigação dos riscos aos quais estão expostas as instituições, a sociedade e o
Estado. Disponível em: <http://dsic.planalto.gov.br/noticias/475-gsi-pr-publica-estrategia-de-sic-
e-segciber-para-a-apf>. Acesso em: 25 maio 2015.
17 Tem como objetivo definir a metodologia de gestão de segurança da informação e
Iniciou
plano Adota Adota Não se
Critério para parcialmente integralmente aplica
adotar
(%) (%) (%)
(%)
informação formalmente
instituída
Dispõe de comitê de
segurança da informação 18 13 49 20
formalmente instituído
Possui gestor de
segurança da informação 21 12 38 29
formalmente designado
Dispõe de política de
controle de acesso 26 19 33 22
formalmente instituída
Dispõe de política de
cópias de segurança
26 27 27 20
(backup) formalmente
instituída
20
Pessoa física ou entidade privada que, em virtude de vínculo de qualquer natureza com a
Câmara dos Deputados, tenha acesso a informação sigilosa ou pessoal e a submeta a
tratamento indevido (artigo 30, parágrafo único).
CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
O Ato também declara em seu artigo 4º, IV, que tem como um de seus
objetivos contribuir para a redução do risco em segurança da informação.
21
Ato da Mesa n. 46, artigo 12; Ato da Mesa n. 47, artigos 12 e 13; Ato da Mesa n. 48, artigo
20; Ato da Mesa n. 49, artigo 11.
CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
atividades de acordo com a seguinte escala: não se aplica, não adota, iniciou
plano para adotar, adota parcialmente ou adota integralmente.
8. Análise
CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
23
Disponível em: <https://camaranet.camara.gov.br/web/gestao-estrategica/governanca-de-ti>.
Acesso em: 1 jun. 2015.
CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
10. Conclusões
Não Iniciou
se Não plano Adota Adota
Prática de gestão e objetivo Atividade
aplic adota para parcialmente integralmente
a adotar
informação em todos os meios 3. Implementar mecanismos de filtragem de rede, como
de conectividade. firewalls e software de detecção de intrusão, com
políticas adequadas para controlar o tráfego de entrada
e de saída.
4. Criptografar informações em trânsito, de acordo com
sua classificação.
5. Aplicar protocolos de segurança aprovados para
conectividade de rede.
6. Configurar equipamentos de rede de forma segura.
7. Estabelecer mecanismos confiáveis para suportar
transmissão e recepção segura de informações.
8. Realizar testes periódicos de penetração para
determinar a adequação da proteção da rede.
9. Realizar testes periódicos de segurança para
determinar a adequação da proteção dos sistemas.
Não Iniciou
se Não plano Adota Adota
Prática de gestão e objetivo Atividade
aplic adota para parcialmente integralmente
a adotar
1. Manter os direitos de acesso de usuário em
conformidade com a função do negócio e os requisitos
do processo. Alinhar a gestão de identidades e de
direitos de acesso com os papéis e responsabilidades
definidos, com base em princípios de "privilégio
mínimo" e necessidades de acesso à informação
sensível.
2. Identificar de modo unívoco todas as atividades de
processamento de informação por papéis funcionais, de
modo coordenado com as unidades de negócios para
DSS05.04 - Gerenciar a garantir que todas as funções são consistentemente
identidade e acesso lógico definidas, incluindo papéis que são definidos pelo
dos usuários. próprio negócio dentro dos aplicativos de apoio aos
seus processos.
Garantir que todos os
3. Autenticar todo o acesso a ativos de informação com
usuários tenham direitos de
base na sua classificação de segurança, coordenando
acesso à informação de
com unidades de negócio que gerenciam autenticação
acordo com seus requisitos de
dentro de aplicativos usados em seus processos de
negócio de modo coordenado
negócio para garantir que controles de autenticação
com as respectivas unidades.
foram administrados corretamente.
4. Administrar todas as alterações nos direitos de
acesso (criação, modificações e exclusão) para que
sejam efetivadas no momento apropriado, com base
apenas em transações aprovadas e documentadas,
autorizadas por indivíduos designados para essa
função.
5. Segregar e gerenciar contas privilegiadas de usuário.
6. Realizar revisão regular de todas as contas e
privilégios relacionados.
REF:
CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
Não Iniciou
se Não plano Adota Adota
Prática de gestão e objetivo Atividade
aplic adota para parcialmente integralmente
a adotar
7. Garantir que todos os usuários (internos, externos e
temporários) e a suas atividades em sistemas de TI
(aplicativo de negócios, infraestrutura de TI, operações
de TI, desenvolvimento e manutenção) são unicamente
identificáveis. Identificar univocamente todas as
atividades de processamento de informação por
usuário.
8. Manter uma trilha de auditoria de acesso a
informações classificadas como altamente sensíveis.
1. Administrar o pedido e concessão de acesso às
DSS05.05 - Gerenciar o instalações de TI. Pedidos de acesso devem ser
acesso físico a instalações de formalizados e autorizados pela administração da
TI. instalação de TI e os registros de solicitação devem ser
mantidos. Os formulários devem identificar
Definir e implementar especificamente as áreas a que os indivíduos têm
procedimentos para acesso concedido.
conceder, limitar e revogar 2. Garantir que os perfis de acesso permaneçam atuais.
acesso a instalações, prédios Permitir o acesso a instalações de TI (salas de
e áreas de acordo com servidores, edifícios, áreas ou zonas) de acordo com a
necessidades de negócio, função e responsabilidades de trabalho.
incluindo emergências. O
3. Registrar e monitorar todos os pontos de entrada
acesso às instalações,
para sites de TI. Registrar todos os visitantes, incluindo
prédios e áreas deve ser
contratados e fornecedores, aos sites.
justificado, autorizado,
registrado e monitorado. Isso 4. Instruir todo o pessoal para exibir identificação visível
se aplica a todas as pessoas em todos os momentos. Prevenir a emissão de cartões
que entram nas instalações, de identificação ou crachás sem autorização
incluindo o pessoal do quadro, apropriada.
terceirizados, fornecedores, 5. Exigir que os visitantes sejam acompanhados
visitantes e outras pessoas. durante todo o tempo nas instalações. Se for
identificado um indivíduo desacompanhado ou
REF:
CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
Não Iniciou
se Não plano Adota Adota
Prática de gestão e objetivo Atividade
aplic adota para parcialmente integralmente
a adotar
desconhecido que não esteja usando identificação
pessoal, alertar o pessoal da segurança.
6. Restringir o acesso a instalações de TI sensíveis,
estabelecendo restrições de perímetro, tais como
cercas, muros e dispositivos de segurança nas portas
interiores e exteriores. Certificar-se que dispositivos
gravam a entrada e acionam um alarme em caso de
acesso não autorizado. Exemplos de tais dispositivos
incluem crachás ou cartões, teclados numéricos,
circuito fechado de TV e scanners biométricos.
7. Realizar treinamento regular sobre conscientização
acerca da segurança física.
1. Estabelecer procedimentos para administrar o
DSS05.06 - Gerenciar recebimento, o uso, a remoção e a eliminação de
documentos sensíveis e formulários especiais e dispositivos de saída que
dispositivos de saída. entram, que permanecem e que saem da organização.
2. Atribuir privilégios de acesso a documentos
Estabelecer salvaguardas confidenciais e dispositivos de saída sensíveis com
físicas apropriadas, práticas base no princípio do "privilégio mínimo", equilibrando os
de contabilização e gestão de riscos com os requisitos de negócios.
inventário sobre ativos 3. Estabelecer um inventário de documentos e
sensíveis de TI, tais como dispositivos de saída sensíveis e realizar conciliações
formulários especiais, regulares.
instrumentos negociáveis, 4. Estabelecer salvaguardas físicas apropriadas sobre
impressoras de propósito formulários especiais e dispositivos sensíveis.
especiais e tokens de 5. Destruir informações sensíveis e proteger os
segurança. dispositivos de saída (por exemplo, desmagnetização
de mídia eletrônica, destruição física de dispositivos de
REF:
CÂMARA DOS DEPUTADOS
MESA DIRETORA
SECRETARIA DE CONTROLE INTERNO
NÚCLEO DE AUDITORIA DE TI
Não Iniciou
se Não plano Adota Adota
Prática de gestão e objetivo Atividade
aplic adota para parcialmente integralmente
a adotar
memória, fragmentação de formulários especiais e de
outros documentos confidenciais).
1. Registrar eventos relacionados à segurança
relatados por ferramentas de monitoramento de
segurança de infraestrutura, identificando o nível de
informação a ser gravado com base na ponderação de
DSS05.07 - Monitorar a risco. Mantê-los durante um período adequado para
infraestrutura para eventos auxiliar em futuras investigações.
relacionados à segurança. 2. Definir e comunicar a natureza e as características
de potenciais incidentes relacionados à segurança para
Monitorar a infraestrutura, que eles possam ser facilmente reconhecidos e seus
usando ferramentas de impactos entendidos para permitir uma resposta
detecção de intrusões, em proporcional.
busca de acessos não 3. Avaliar regularmente os logs de eventos em busca de
autorizados e garantir que os incidentes potenciais.
eventos estão integrados com 4. Manter um procedimento para coleta de evidências
o monitoramento e o em consonância com as normas cabíveis de provas
gerenciamento de incidentes. forenses e certificar-se de que os funcionários estejam
cientes dos requisitos aplicáveis.
5. Assegurar que registros de incidentes de segurança
sejam criados em tempo hábil quando o monitoramento
identificar potenciais incidentes.