Tribunal de Contas da União -...
Transcript of Tribunal de Contas da União -...
Tribunal de Contas da União
Ministros
, PresidenteUbiratan Aguiar, Vice-Presidente
Marcos Vinicios VilaçaValmir Campelo
Guilherme PalmeiraBenjamin ZymlerAugusto NardesAroldo Cedraz
Raimundo Carreiro
Auditores
Augusto Sherman CavalcantiMarcos Bemquerer CostaAndré Luís de Carvalho
Ministério Público
Lucas Rocha Furtado, Procurador-GeralPaulo Soares Bugarin, Subprocurador-GeralMaria Alzira Ferreira, Subprocuradora-Geral
Marinus Eduardo de Vries Marsico, ProcuradorCristina Machado da Costa e Silva, Procuradora
Júlio Marcelo de Oliveira, ProcuradorSérgio Ricardo Costa Caribé, Procurador
Walton Alencar Rodrigues
NegócioControle Externo da Administração Públicae da gestão dos recursos públicos federais
MissãoAssegurar a efetiva e regular gestão dos
recursos públicos em benefício da sociedade
VisãoSer instituição de excelência no controle e contribuir
para o aperfeiçoamento da Administração Pública
República Federativa do Brasil
Segurança da informação no TCU:
política corporativa comentada
Brasília — 2008
Brasil. Tribunal de Contas da União.
Segurança da informação no TCU : política corporativa
comentada / Tribunal de Contas da União. – Brasília : TCU,
Secretaria-Geral da Presidência, 2008.
29 p.
1. Segurança da informação. 2. Tecnologia da informação.
I. Título.
Ficha catalográfica elaborada pela Biblioteca Ministro Ruben Rosa
© Copyright 2008, Tribunal de Contas da União
Impresso no Brasil / Printed in Brazil
<www.tcu.gov.br>
Permite-se a reprodução desta publicação,
em parte ou no todo, sem alteração do conteúdo,
desde que citada a fonte e sem fins comerciais.
Apresentação
O sucesso da atuação do Tribunal de Contas da União, no âmbito de
suas competências constitucionais, depende diretamente da forma como
as informações recebidas ou produzidas internamente são armazenadas,
manuseadas, compartilhadas e divulgadas. A informação é, afinal, um
dos principais insumos utilizados pelo Tribunal no desempenho de suas
atribuições.
Por conseguinte, o TCU tem desenvolvido ações que buscam
aperfeiçoar a gestão da segurança da informação, com o objetivo de
garantir a continuidade e aumentar a eficiência e a efetividade do controle
externo da gestão dos recursos públicos federais.
Além da criação da Secretaria de Fiscalização de Tecnologia da
Informação (Sefti) e da Assessoria em Segurança da Informação e Apoio à
Governança de TI (Assig), destaca-se o esforço conjunto de representantes
das Secretarias-Gerais do Tribunal e dos gabinetes de ministros e
auditores que resultou na revisão da Política Corporativa de Segurança
da Informação do TCU (PCSI), por meio da publicação da Resolução-TCU
nº 217, de 15 de outubro de 2008, que estabeleceu objetivos, princípios e
diretrizes para a segurança da informação no Tribunal.
Uma vez que o sucesso da aplicação da PCSI está diretamente
relacionado à sua ampla divulgação e à correta compreensão de seus
dispositivos, elaborou-se esta cartilha com o intuito de apresentar essa
política a todos os envolvidos - servidores, unidades do Tribunal, prestadores
de serviços terceirizados, estagiários ou quaisquer outros colaboradores
que tenham acesso a informações produzidas ou custodiadas pelo Tribunal
de Contas da União.
Walton Alencar Rodrigues
Ministro-Presidente
1 Segurança da informação no TCU: política corporativa comentada
Nesta cartilha, por meio de perguntas e respostas, são apresentados
conceitos relativos à política corporativa de segurança da informação do
Tribunal de Contas da União (PCSI/TCU), objeto da Resolução-TCU nº
217, de 15 de outubro de 2008, com o objetivo de tornar mais claro seu
conteúdo. A cada explicação, são reproduzidos os trechos correspondentes
da Resolução.
1.1 O que é política corporativa de segurança da informação?
Política corporativa de segurança da informação (PCSI) é um
conjunto de princípios, objetivos e diretrizes que norteiam a gestão de
segurança da informação de uma instituição. As diretrizes estabelecidas
nessa política determinam as linhas mestras a serem seguidas pela
organização para que seja assegurada a segurança de suas informações.
A PCSI é um mecanismo preventivo de proteção de dados e processos
importantes de uma organização que define o padrão de segurança
a ser seguido tanto pelo corpo técnico e gerencial como por usuários
internos e externos. Pode ser usada para definir os relacionamentos entre
fornecedores e parceiros e medir a qualidade e a segurança dos sistemas
de informação. Ela deve estabelecer princípios institucionais de como a
organização irá proteger, controlar e monitorar suas informações, assim
como responsabilidades das funções relacionadas com a segurança.
Quanto mais simples e coerente a política de segurança da informação,
maior a probabilidade de sucesso na sua implementação prática.
5Segurança da informação no TCU: política corporativa comentada
Art. 1° A Política Corporativa de Segurança da Informação do Tribunal de
Contas da União (PCSI/TCU) observará os princípios, objetivos e diretrizes
estabelecidos nesta Resolução, bem como as disposições constitucionais,
legais e regimentais vigentes.
1.2 O que motivou a atualização da PCSI/TCU em 2008?
O diagnóstico de maturidade e aderência de processos de
segurança da informação frente à norma NBR ISO/IEC 17799:2005,
da ABNT, concluído em agosto de 2008, destacou a necessidade de
reformulação da política corporativa de segurança da informação do TCU,
aprovada na Resolução-TCU nº 126, de 3 de novembro de 1999. Esse
diagnóstico, analisado pela Secretaria-Geral da Presidência (Segepres),
e a recomendação da NBR ISO/IEC 27002:2005, substituta da NBR
ISO/IEC 17799:2005, de que a política de segurança da informação
seja analisada criticamente a intervalos planejados ou quando mudanças
significativas ocorrerem, motivaram a atualização da PCSI/TCU.
A formalização, a atualização e a divulgação da PCSI/TCU também
vão ao encontro das decisões do Tribunal, proferidas consistentemente
desde 2000, para que os entes fiscalizados elaborem, formalizem,
divulguem e mantenham atualizadas políticas de segurança da informação
norteadoras da gestão da segurança da informação nessas entidades.
Considerando que a NBR ISO/IEC 27002:2005, norma que estabelece
boas práticas em segurança da informação, recomenda revisões periódicas
da política de segurança da informação das instituições;
6 Tribunal de Contas da União
Considerando as recomendações resultantes do diagnóstico de maturidade
e aderência de processos de segurança da informação realizado no Tribunal;
[...]
1.3 Que assuntos são abordados na PCSI/TCU?
A política corporativa de segurança da informação não está restrita à
área de tecnologia da informação e aos recursos computacionais. Ela está
integrada ao negócio e às metas organizacionais, aos planos estratégicos
institucional e de informática, e ainda às políticas da organização sobre
segurança em geral.
O conteúdo de uma PCSI varia de acordo com o tipo de instituição,
área de atuação, cultura organizacional, grau de informatização, requisitos
de segurança, estágio de maturidade da segurança da informação, entre
outros aspectos. Na PCSI/TCU, constam tópicos comuns em políticas
de segurança da informação, recomendados pela norma da Associação
Brasileira de Normas Técnicas (ABNT) NBR ISO/IEC 27002:2005, tais
como: definição e objetivos de segurança da informação, responsabilidades
gerais na gestão de segurança da informação, menção às normas e
procedimentos complementares que apóiam a política, conseqüências de
violações das normas estabelecidas na política, necessidade de treinamento
e educação em segurança da informação, entre outros assuntos.
Normalmente, a política corporativa de segurança da informação
está relacionada a outros documentos que descrevem, com mais
detalhes e precisão, regras de acesso e uso, procedimentos de proteção
e recuperação, normas de classificação de informações, uso do correio
eletrônico e da Internet, trâmite de processos sigilosos, entre outras
diretrizes.
7Segurança da informação no TCU: política corporativa comentada
Art. 1° [...]
Parágrafo único. Integram, também, a PCSI/TCU normas gerais e
específicas de segurança da informação, bem como procedimentos
complementares, destinados à proteção da informação e à disciplina de sua
utilização, emanados no âmbito do Tribunal.
1.4 O que é informação?
Conjunto de dados, textos, imagens, métodos, sistemas, enfim,
qualquer forma de representação com significado, sem importar o suporte
em que esteja ou seja veiculado (papel, memória do computador, disquete,
linha telefônica).
Art. 3º Para os efeitos desta Resolução, entende-se por:
I – informação: conjunto de dados, textos, imagens, métodos, sistemas ou
quaisquer formas de representação dotadas de significado em determinado
contexto, independentemente do suporte em que resida ou da forma pela
qual seja veiculado; [...]
1.5 O que é segurança da informação?
Na época em que as informações eram armazenadas apenas
em papel, a segurança era relativamente simples. Bastava trancar os
documentos em algum lugar e restringir o acesso físico àquele local. Com
as mudanças tecnológicas e o uso de computadores de grande porte, a
estrutura de segurança ficou mais sofisticada, com controles lógicos, porém
ainda centralizados. Com a chegada dos computadores pessoais, das
8 Tribunal de Contas da União
telecomunicações e das redes de computadores, os aspectos de segurança
da informação tornaram-se mais complexos. Paralelamente, os sistemas
de informação também adquiriram maior importância nas organizações
modernas, já que, sem computadores e redes de comunicação, a prestação
de serviços de informação pode se tornar inviável.
As informações das organizações modernas, assim como os sistemas,
recursos e serviços relacionados, necessitam de ambientes controlados,
protegidos contra desastres naturais (incêndio, terremoto, enchente),
falhas estruturais (interrupção do fornecimento de energia elétrica,
sobrecargas elétricas), sabotagem, fraudes, acessos não autorizados (ex-
funcionários descontentes, invasores ou hackers1, espionagem industrial,
venda de informações confidenciais). Tudo isso para garantir a continuidade
do negócio da instituição.
Segurança da informação é, portanto, a proteção de informações,
sistemas, recursos e serviços de informação contra ameaças variadas, de
forma que a probabilidade e o impacto de incidentes de segurança nos
negócios da organização sejam minimizados.
Art. 3º [...]
II – segurança da informação: proteção da informação contra ameaças
para garantir a continuidade do negócio, minimizar os riscos e maximizar a
eficiência e a efetividade das ações do negócio; [...]
1 “Pessoa que tenta acessar sistemas sem autorização, usando técnicas próprias ou não,
no intuito de ter acesso a determinado ambiente para proveito próprio ou de terceiros.”
(NBR ISO/IEC 27002:2005).
9Segurança da informação no TCU: política corporativa comentada
1.6 E o que é incidente em segurança da informação?
Incidente em segurança da informação é qualquer evento ou atitude
indesejável que potencialmente remove, desabilita, danifica ou destrói um
sistema, recurso ou serviço de informação. É qualquer evento adverso
capaz de explorar fragilidades ou deficiências nas medidas preventivas
de segurança de uma organização e causar danos, tais como modificação
de dados, indisponibilidade de sistemas de informação, divulgação de
informações confidenciais, fraude, perda de credibilidade, possibilidade
de processo legal contra a instituição e perda de clientes para a
concorrência.
Um incidente pode ser acidental (falhas de hardware ou software,
erros de programação, desastres naturais, erros do usuário, mensagem
secreta enviada a endereço incorreto) ou deliberado (roubo, espionagem,
fraude, sabotagem, invasão de hackers). Pode ser ocasionado por pessoa,
coisa ou evento capaz de causar dano a um recurso. Alguns exemplos
de incidentes em segurança da informação: vazamento de informações
voluntário ou involuntário, violação de integridade ou comprometimento
da consistência de dados, indisponibilidade dos serviços de informática,
acesso não autorizado a informações classificadas.
Art. 3º [...]
V – incidente em segurança da informação: qualquer indício de fraude,
sabotagem, desvio, falha ou evento indesejado ou inesperado que tenha
probabilidade de comprometer as operações do negócio ou ameaçar a
segurança da informação; [...]
10 Tribunal de Contas da União
1.7 Por que é importante zelar pela segurança das informações?
Porque as informações, contidas ou não em sistemas computacionais,
são recursos patrimoniais críticos, importantes para qualquer organização,
tanto para a concretização de negócios como para a tomada de decisão
em questões governamentais, sociais, educativas, econômicas. Como
a sociedade moderna depende de informações para tomar decisões de
negócios ou de bem estar social, a segurança dessas informações deve
ser preservada.
Informações adulteradas, não disponíveis, ou sob conhecimento de
pessoas de má-fé podem comprometer instituições do mercado financeiro,
indústrias, bancos, sistemas de telecomunicações, de assistência médica,
enfim, podem afetar a sociedade de inúmeras maneiras.
O que aconteceria se informações institucionais caíssem nas mãos
da concorrência ou fossem corrompidas, apagadas ou adulteradas?
Quais seriam as conseqüências para a continuidade dos negócios da
organização? O vazamento de informações sobre os clientes de uma
empresa comprometeria sua credibilidade e daria oportunidades aos
concorrentes. O que dizer, então, do vazamento de informações sigilosas
em instituições governamentais? Não apenas a imagem da instituição
perante terceiros poderia ser afetada, como também o andamento dos
processos organizacionais. É possível inviabilizar a continuidade das
atividades de uma instituição se não for dada a devida atenção à segurança
de suas informações.
11Segurança da informação no TCU: política corporativa comentada
Ter uma política corporativa de segurança da informação é importante
para que a instituição declare sua visão quanto à segurança da informação.
Os motivos que levaram à formulação, em 1999, e atualização, em 2008,
da política corporativa de segurança da informação do Tribunal estão
expressos nos primeiros trechos da Resolução:
Considerando que o Tribunal gera, adquire ou absorve informações no
exercício de suas competências constitucionais, legais e regulamentares, e
que essas informações devem permanecer íntegras, disponíveis e, quando
for o caso, com o sigilo resguardado;
Considerando que as informações no Tribunal são armazenadas em
diferentes suportes, veiculadas por diferentes formas, tais como meio
impresso, eletrônico e microforma, e, portanto, vulneráveis a incidentes
como desastres naturais, acessos não autorizados, mau uso, falhas de
equipamentos, extravio e furto;
Considerando que a adequada gestão da informação precisa nortear todos
os processos de trabalho e unidades do Tribunal e deve ser impulsionada
por política corporativa de segurança da informação;
Considerando que a NBR ISO/IEC 27002:2005, norma que estabelece
boas práticas em segurança da informação, recomenda revisões periódicas
da política de segurança da informação das instituições;
Considerando as recomendações resultantes do diagnóstico de maturidade
e aderência de processos de segurança da informação realizado no Tribunal;
[...]
12 Tribunal de Contas da União
1.8 Qual o objetivo da segurança da informação?
A segurança da informação visa garantir a autenticidade, a
confidencialidade, a disponibilidade e a integridade das informações
processadas pela organização, independentemente do meio em que
residam ou transitem.
A expectativa de todo usuário de sistemas computacionais,
por exemplo, no que diz respeito a autenticidade, confidencialidade,
disponibilidade e integridade, é que as informações armazenadas hoje em
seu computador, recebidas de outra pessoa por meio eletrônico, tenham
sido encaminhadas realmente por essa pessoa e lá permaneçam, mesmo
depois de algumas semanas, sem que pessoas não autorizadas tenham
tido qualquer acesso a seu conteúdo. Em outras palavras, o usuário espera
que suas informações estejam disponíveis no momento e local que ele
determinar, que sejam fidedignas e mantidas fora do alcance e das vistas
de pessoas não autorizadas.
Na verdade, quando alguém perde uma informação em um sistema
computacional, não lhe interessa saber se o dado foi apagado por um
ex-funcionário insatisfeito com a instituição, por um vírus de computador,
falha de equipamento ou sobrecarga elétrica. O que importa é que o dado
foi adulterado ou perdido.
Essas expectativas dos usuários de sistemas computacionais podem
ser generalizadas a todos os usuários de informações e traduzidas em
objetivos de segurança da informação, tal como os mencionados no art.
2º da Resolução-TCU nº 217/2008.
13Segurança da informação no TCU: política corporativa comentada
Vale ressaltar que não basta definir objetivos e medidas de segurança
uma única vez. A revisão e a atualização periódicas, mencionadas no art.
9º da Resolução-TCU nº 217/2008, são imprescindíveis para a efetividade
da política de segurança da informação.
Art. 2º A PCSI/TCU alinha-se às estratégias do Tribunal e tem por
objetivo garantir a autenticidade, a confidencialidade, a disponibilidade e a
integridade das informações produzidas ou custodiadas pelo Tribunal.
Art. 9º As medidas de segurança da informação devem ser planejadas,
aplicadas, implementadas e, periodicamente, avaliadas de acordo com os
objetivos institucionais e os riscos para as atividades do TCU.
§ 1º Cabe ao Comitê de que trata o art. 18 desta Resolução elaborar
proposta e promover atualização periódica de plano com medidas que
garantam a continuidade das atividades do Tribunal e o retorno à situação
de normalidade em caso de desastre ou falhas nos recursos que suportam
os processos vitais de negócio do Tribunal.
1.8.1 O que é autenticidade de informações?
A garantia da veracidade da fonte das informações. Por meio da
autenticação, é possível confirmar a identidade da pessoa ou entidade que
presta informações, isto é, se ela é realmente quem diz ser.
Art. 5º São atributos inerentes à segurança da informação:
I – autenticidade: assegura a correspondência entre o autor de determinada
informação e a pessoa, processo ou sistema a quem se atribui a autoria;
[...]
14 Tribunal de Contas da União
1.8.2 O que é confidencialidade de informações?
A garantia de que somente pessoas autorizadas tenham acesso às
informações armazenadas em algum local ou transmitidas por meio de
redes de comunicação. Manter a confidencialidade pressupõe assegurar
que pessoas ou processos não tomem conhecimento de informações, de
forma acidental ou proposital, sem que possuam autorização para isso.
O princípio da confidencialidade é o objetivo de segurança da informação
mais conhecido.
Art. 4º A segurança da informação no Tribunal abrange aspectos físicos,
tecnológicos e humanos da organização e orienta-se pelos seguintes
princípios:
I – confidencialidade: garante que a informação seja acessada somente
pelas pessoas ou processos que tenham autorização para tal; [...]
1.8.3 O que é disponibilidade de informações?
A garantia de que as informações estejam acessíveis às pessoas
e aos processos autorizados, a qualquer momento requerido, durante o
período acordado pelos gestores da informação. Manter a disponibilidade
de informações pressupõe garantir a prestação contínua do serviço de
informações, sem interrupções no fornecimento de informações para
quem de direito. O foco deste princípio é prevenir, inclusive, que incidentes
deliberados ou maliciosos evitem ou dificultem o acesso de usuários
autorizados às informações. Para um usuário autorizado, um sistema de
informações não disponível, quando se necessita dele, pode ser tão ruim
quanto um sistema inexistente ou destruído.
15Segurança da informação no TCU: política corporativa comentada
Art. 4º [...]
II – disponibilidade: garante que as informações estejam acessíveis às
pessoas e aos processos autorizados, no momento requerido; [...]
1.8.4 O que é integridade de informações?
Evitar que informações sejam apagadas ou alteradas de qualquer
forma sem a permissão do gestor da informação. Em termos de
comunicação de dados, por exemplo, integridade refere-se à detecção, e
subseqüente correção, de alterações deliberadas ou acidentais nos dados
transmitidos, com a preocupação de garantir a equivalência entre os dados
transmitidos pelo emissor e os recebidos pelo destinatário. Em síntese,
integridade trata de fidedignidade de informações. Enquanto o princípio
da confidencialidade está voltado à leitura de informações, a integridade
preocupa-se com alteração, gravação ou exclusão de informações.
Art. 4º [...]
III – integridade: garante a não-violação das informações com intuito de
protegê-las contra alteração, gravação ou exclusão acidental ou proposital.
1.9 Que tipos de informações devem ser protegidos?
Diferentes tipos de informação devem ser protegidos de diferentes
maneiras. Por isso, a classificação das informações é um dos primeiros
passos para a implementação de uma política de segurança da informação.
Uma vez classificada a informação, quanto ao grau de confidencialidade,
criticidade, disponibilidade, integridade e prazo de retenção, pode-se definir
16 Tribunal de Contas da União
como tratá-la, e quais os mecanismos de segurança mais adequados para
protegê-la. Uma classificação de informações quanto à confidencialidade,
por exemplo, poderia agrupar as informações em três níveis: públicas, de
uso interno e sigilosas.
No caso do Tribunal, tanto as informações produzidas internamente,
como as aqui custodiadas, devem ser classificadas quanto ao grau de
confidencialidade, criticidade, disponibilidade, integridade e prazo de
retenção, observando-se as restrições impostas na política corporativa
de segurança da informação, no art. 8º, e em normas complementares.
O art. 10 da Resolução-TCU nº 217/2008 prevê a regulamentação da
classificação de informações no TCU.
Art. 8º O acesso às informações produzidas ou custodiadas pelo Tribunal, que
não sejam de domínio público, deve ser limitado às atribuições necessárias
ao desempenho das respectivas atividades dos usuários internos ou usuários
colaboradores.
§ 1º Qualquer outra forma de uso que extrapole as atribuições necessárias ao
desempenho das atividades dos usuários internos ou usuários colaboradores
necessitará de prévia autorização formal.
§ 2º O acesso, quando autorizado, dos usuários colaboradores ou usuários
externos a informações produzidas ou custodiadas pelo Tribunal que não
sejam de domínio público é condicionado ao aceite a termo de sigilo e
responsabilidade.
Art. 10. As informações produzidas ou custodiadas pelo Tribunal serão
classificadas em função do seu grau de confidencialidade, criticidade,
disponibilidade, integridade e prazo de retenção.
17Segurança da informação no TCU: política corporativa comentada
§ 1º A Assig, com o apoio, no que couber, da Comissão Permanente de
Avaliação de Documentos (CAD) e demais unidades pertinentes, submeterá,
até o final do segundo semestre de 2009, proposta de regulamentação
da classificação das informações ao Comitê de que trata o art. 18 desta
Resolução.
§ 2º A autorização, o acesso e o uso das informações produzidas ou
custodiadas pelo Tribunal devem ser controlados de acordo com a respectiva
classificação.
1.10 Quem está sujeito à PCSI do TCU?
As políticas, diretrizes, normas e procedimentos de segurança da
informação devem ser observados tanto pelo corpo técnico e gerencial
do Tribunal como por prestadores de serviços terceirizados, consultores
externos, estagiários ou qualquer pessoa física ou jurídica com acesso
autorizado às informações produzidas ou custodiadas pelo Tribunal. O art.
7º da Resolução-TCU nº 217/2008 classifica os tipos de usuários sujeitos
às diretrizes, normas e procedimentos de segurança de informação do
TCU, enquanto o art. 15 determina que contratos, convênios, acordos de
cooperação e outros instrumentos congêneres celebrados pelo Tribunal
também devem observar os dispositivos integrantes da PCSI/TCU.
Art. 7º Para fins de segurança da informação, os usuários classificam-se
em:
I – usuário interno: qualquer servidor ativo ou unidade do Tribunal que tenha
acesso, de forma autorizada, a informações produzidas ou custodiadas pelo
TCU;
18 Tribunal de Contas da União
II – usuário colaborador: prestador de serviço terceirizado, estagiário
ou qualquer outro colaborador do Tribunal que tenha acesso, de forma
autorizada, a informações produzidas ou custodiadas pelo Tribunal; e
III – usuário externo: qualquer pessoa física ou jurídica que tenha acesso, de
forma autorizada, a informações produzidas ou custodiadas pelo Tribunal e
que não seja caracterizada como usuário interno ou usuário colaborador.
§ 1º Os usuários internos, externos e colaboradores estão sujeitos às
diretrizes, normas e procedimentos de segurança de informação da PCSI/
TCU.
§ 2º Os usuários internos e colaboradores são responsáveis por garantir a
segurança das informações do TCU a que tenham acesso e por reportar
à Assig os incidentes em segurança da informação de que tenham
conhecimento.
Art. 15. Os contratos, convênios, acordos de cooperação e outros
instrumentos congêneres celebrados pelo Tribunal devem observar, no que
couber, o contido no artigo anterior e nos demais dispositivos integrantes
da PCSI/TCU.
1.11 Qual o papel da administração na elaboração e implantação da PCSI/TCU?
A PCSI, para que seja colocada em prática e encarada com
seriedade por todos os membros da organização, deve ter total apoio
da alta administração, a qual deve se comprometer em implantá-la.
Esse comprometimento deve ser expresso na política de tal forma que
19Segurança da informação no TCU: política corporativa comentada
os objetivos de segurança da informação sejam compatíveis com os
objetivos estratégicos da organização.
O sucesso da PCSI/TCU está diretamente relacionado com o
alinhamento da política às estratégias do Tribunal, com o envolvimento e a
atuação da administração, comprometida com a elaboração e a implantação
da política, por meio do Comitê de Segurança da Informação (CSI) e
das Secretarias-Gerais da Presidência (Segepres), de Administração
(Segedam) e de Controle Externo (Segecex), e com a conscientização de
todos os envolvidos. Tais assuntos são tratados nos arts. 2º, 6º e 18 da
Resolução-TCU nº 217/2008.
Art. 2º A PCSI/TCU alinha-se às estratégias do Tribunal e tem por
objetivo garantir a autenticidade, a confidencialidade, a disponibilidade e a
integridade das informações produzidas ou custodiadas pelo Tribunal.
Art 6º Compete à Secretaria-Geral da Presidência (Segepres), por meio
da Assessoria de Segurança da Informação e Apoio à Governança de TI
(Assig):
I – coordenar e acompanhar a implementação da PCSI/TCU e normas
complementares;
II – homologar processos de trabalho e procedimentos operacionais
necessários; e
III – monitorar e avaliar periodicamente as práticas de segurança da
informação adotadas pelo Tribunal.
20 Tribunal de Contas da União
Parágrafo único. Cabe às demais unidades do Tribunal, no âmbito de suas
competências, a implementação e o acompanhamento de ações para
segurança da informação.
Art. 18. Fica instituído o Comitê de Segurança da Informação (CSI), órgão
colegiado de natureza consultiva e de caráter permanente.
§ 1º O Comitê tem por finalidade formular e conduzir diretrizes para a PCSI/
TCU, analisar periodicamente sua efetividade, propor normas e mecanismos
institucionais para melhoria contínua, bem como assessorar, em matérias
correlatas, a Comissão de Coordenação Geral (CCG) e a Presidência do
Tribunal.
§ 2º Compete também ao Comitê apresentar proposta de revisão da PCSI/
TCU, no máximo a cada cinco anos, de modo a atualizar a política frente a
novos requisitos corporativos.
§ 3º A composição e os regulamentos do Comitê são estabelecidos por ato
da Presidência.
1.12 Quem são os responsáveis por elaborar e manter a PCSI/TCU?
As boas práticas em segurança da informação recomendam que
exista, na estrutura da organização, uma área responsável pela segurança de
informações. Essa área deve iniciar o processo de elaboração da política de
segurança da informação, coordenar sua implantação, aprovação e revisão,
e cuidar da divulgação e aplicação correta da política, de forma que todos,
funcionários, fornecedores ou clientes, entendam suas responsabilidades
com relação à segurança de informações na organização.
21Segurança da informação no TCU: política corporativa comentada
É interessante que haja linha hierárquica direta com a alta gerência
para evitar que as recomendações dessa área sejam ignoradas pelas
outras gerências operacionais. Seguindo essa recomendação, a Resolução-
TCU nº 217/2008 estabelece, em seus arts. 6º e 18, que esse papel seja
desempenhado pela Secretaria-Geral da Presidência (Segepres), por meio
da Assessoria de Segurança da Informação e Apoio à Governança de TI
(Assig), e pelo Comitê de Segurança da Informação (CSI).
Vale salientar, também, que pessoas de áreas críticas da organização,
como a alta administração, gerentes de unidades e gestores de sistemas
informatizados devem participar do processo de elaboração da política.
Além disso, é recomendável que a política seja aprovada pelo mais alto
dirigente da organização. No caso do TCU, houve a participação de
representantes das três Secretarias-Gerais na elaboração da minuta de
política corporativa de segurança da informação, aprovada pela Resolução-
TCU nº 217/2008.
Art 6º Compete à Secretaria-Geral da Presidência (Segepres), por meio
da Assessoria de Segurança da Informação e Apoio à Governança de TI
(Assig):
I – coordenar e acompanhar a implementação da PCSI/TCU e normas
complementares;
II – homologar processos de trabalho e procedimentos operacionais
necessários; e
III – monitorar e avaliar periodicamente as práticas de segurança da
informação adotadas pelo Tribunal.
22 Tribunal de Contas da União
Parágrafo único. Cabe às demais unidades do Tribunal, no âmbito de suas
competências, a implementação e o acompanhamento de ações para
segurança da informação.
Art. 18. Fica instituído o Comitê de Segurança da Informação (CSI), órgão
colegiado de natureza consultiva e de caráter permanente.
§ 1º O Comitê tem por finalidade formular e conduzir diretrizes para a PCSI/
TCU, analisar periodicamente sua efetividade, propor normas e mecanismos
institucionais para melhoria contínua, bem como assessorar, em matérias
correlatas, a Comissão de Coordenação Geral (CCG) e a Presidência do
Tribunal.
§ 2º Compete também ao Comitê apresentar proposta de revisão da PCSI/
TCU, no máximo a cada cinco anos, de modo a atualizar a política frente a
novos requisitos corporativos.
§ 3º A composição e os regulamentos do Comitê são estabelecidos por ato
da Presidência.
1.13 Os usuários são responsáveis pela segurança das informações do TCU?
Os usuários internos e colaboradores são a ponta da estrutura
da segurança da informação. Devem seguir as orientações da política
de segurança estabelecida e reportar os incidentes em segurança da
informação de que tenham conhecimento. Você, usuário interno, prestador
de serviço terceirizado, estagiário ou qualquer outro colaborador do
Tribunal também é responsável por garantir a segurança das informações
do TCU.
23Segurança da informação no TCU: política corporativa comentada
Ao tomar conhecimento de um incidente de segurança, é preciso
relatar tal fato à área competente para que verifique suas causas,
conseqüências e circunstâncias em que ocorreu. Um incidente de segurança
pode decorrer de um acidente, erro ou desconhecimento da política de
segurança da informação, como também de negligência, ação deliberada
e fraudulenta. Essa averiguação possibilita que vulnerabilidades até então
desconhecidas pela instituição passem a ser consideradas, e induzam, se
for o caso, alterações na política.
Art. 7º [...]
§ 2º Os usuários internos e colaboradores são responsáveis por garantir a
segurança das informações do TCU a que tenham acesso e por reportar
à Assig os incidentes em segurança da informação de que tenham
conhecimento.
1.14 Há outros responsáveis em relação à segurança da informação na PCSI/TCU?
Na PCSI/TCU, ainda são responsáveis pela segurança da
informação os gestores e custodiantes de informações, dirigentes de
unidades e demais chefias do Tribunal (arts. 3º e 13 da Resolução-TCU
nº 217/2008).
O gestor da informação é responsável tanto pela produção de
informações como pelo tratamento dispensado a informações recebidas
de pessoas ou entidades externas ao TCU, enquanto que o custodiante
24 Tribunal de Contas da União
é aquele que tem a posse temporária da informação. Aos dirigentes de
unidades e demais chefias do Tribunal cabe conscientizar usuários, adotar
práticas de segurança da informação e tomar medidas administrativas no
âmbito da sua unidade.
Art. 3º [...]
III – gestor da informação: unidade ou projeto do Tribunal que, no exercício
de suas competências, é responsável pela produção de informações ou
pelo tratamento, ainda que temporário, de informações de propriedade de
pessoa física ou jurídica entregues ao Tribunal;
IV – custodiante: pessoa física, unidade ou projeto do Tribunal que detém
a posse, mesmo que transitória, de informação produzida ou recebida pelo
Tribunal; [...]
Art. 13. São responsabilidades dos dirigentes das unidades e demais chefias
do Tribunal, no que se refere à segurança da informação:
I – conscientizar usuários internos e colaboradores sob sua supervisão em
relação aos conceitos e às praticas de segurança da informação;
II – incorporar aos processos de trabalho de sua unidade, ou de sua área,
práticas inerentes à segurança da informação; e
III – tomar as medidas administrativas necessárias para que sejam aplicadas
ações corretivas nos casos de comprometimento da segurança da informação
por parte dos usuários internos e colaboradores sob sua supervisão.
25Segurança da informação no TCU: política corporativa comentada
1.15 Na PCSI/TCU, quais são as responsabilidades do gestor da informação?
Partindo do princípio de que toda informação tem um dono (ou gestor),
nada mais acertado do que dar-lhe a oportunidade e a responsabilidade
de classificá-la, pois é a pessoa com maiores condições de aferir quão
sensitiva é a informação.
Além de classificar informações, o gestor deve analisar impactos
de falhas de segurança, estabelecer requisitos de segurança, determinar
procedimentos e critérios de acesso, e propor regras para uso das
informações por ele geridas. Vale ressaltar que, no caso de informações
externas, as medidas de segurança a serem tomadas pelo gestor dessas
informações devem também atender aos requisitos de segurança definidos
pela pessoa física ou jurídica externa que as forneceu.
Art. 11. São responsabilidades do gestor da informação, no que concerne às
informações sob sua gestão, produzidas ou custodiadas pelo Tribunal:
I – garantir a segurança das informações;
II – definir procedimentos, critérios de acesso e classificar as informações,
observados os dispositivos legais e regimentais relativos ao sigilo e a outros
requisitos de classificação pertinentes; e
III – propor regras específicas ao uso das informações.
§ 1º As informações recebidas de pessoa física ou jurídica externa ao Tribunal
serão submetidas, adicionalmente, a medidas de segurança da informação
compatíveis com os requisitos pactuados com quem as forneceu.
26 Tribunal de Contas da União
§ 2º Quando se tratar de informação sob a forma de sistema, serviço ou
outra espécie de solução de tecnologia da informação, a designação do
gestor da informação e a definição de suas responsabilidades ocorrerão
mediante ato da Presidência.
§ 3º O Presidente, Ministros e Auditores podem indicar, orientar e autorizar,
a qualquer tempo, procedimentos que visem garantir a segurança da
informação, nos processos e documentos de sua competência, a serem
seguidos pelos gestores da informação pertinentes.
1.16 Na PCSI/TCU, quais são as responsabilidades do custodiante da informação?
De acordo com o art. 12 da Resolução-TCU nº 217/2008, o custodiante,
como detentor da posse, mesmo que transitória, da informação, se
responsabiliza por garantir sua segurança. Para isso, segue os critérios de
segurança definidos pelo gestor da informação e lhe comunica qualquer
situação ou limitação que possa comprometer o cumprimento desses
critérios e, conseqüentemente, a segurança da informação.
Art. 12. São responsabilidades do custodiante da informação:
I – garantir a segurança da informação sob sua posse, conforme os critérios
definidos pelo respectivo gestor da informação;
II – comunicar tempestivamente ao gestor sobre situações que comprometam
a segurança das informações sob custódia; e
27Segurança da informação no TCU: política corporativa comentada
III – comunicar eventuais limitações para cumprimento dos critérios definidos
pelo gestor para segurança da informação, para que este decida quanto à
cessão ou não da informação.
1.17 A PCSI/TCU trata de direitos autorais?
Em seu art. 14, a Resolução-TCU nº 217/2008 estabelece
que informações produzidas por unidades do Tribunal, servidores e
colaboradores, no exercício de suas funções, são de propriedade intelectual
do TCU. Da mesma forma, a regra vale para informações produzidas para
uso exclusivo do TCU por prestador de serviço, o qual deverá guardar sigilo
dessas informações. No art. 15, a Resolução determina que contratos,
convênios, acordos de cooperação e outros instrumentos congêneres
celebrados pelo Tribunal também devem observar o art. 14 e os demais
dispositivos integrantes da PCSI/TCU.
Art. 14. As informações produzidas por usuários internos e colaboradores,
no exercício de suas funções, são patrimônio intelectual do TCU e não cabe
a seus criadores qualquer forma de direito autoral.
§1º Quando as informações forem produzidas por terceiros para uso
exclusivo do Tribunal, instrumento próprio obrigará os criadores ao sigilo
permanente do conteúdo dos produtos.
§2º É vedada a utilização das informações a que se refere o parágrafo
anterior em quaisquer outros projetos ou atividades de uso diverso ao
estabelecido pelo TCU, salvo autorização específica pelos Ministros e
Auditores, nos processos e documentos de sua competência, ou pelo
Presidente, nos demais casos.
28 Tribunal de Contas da União
Art. 15. Os contratos, convênios, acordos de cooperação e outros
instrumentos congêneres celebrados pelo Tribunal devem observar, no que
couber, o contido no artigo anterior e nos demais dispositivos integrantes
da PCSI/TCU.
1.18 Quais medidas de segurança da informação mencionadas na PCSI/TCU serão regulamentadas
em documentos complementares?
Como toda política, a PCSI/TCU deve ser clara e objetiva,
concentrar-se em princípios e deixar os detalhes para outros documentos
mais específicos, os quais também deverão ser formalizados. A política é
o documento principal de um conjunto de documentos com informações
cada vez mais detalhadas sobre procedimentos e padrões de segurança
da informação a serem aplicados em determinadas circunstâncias.
Para que o documento da política de segurança da informação não
seja extenso, é comum citar, na política, a existência de outras normas inter-
relacionadas, procedimentos, práticas e padrões, em que são descritas
tanto regras detalhadas para proteção, uso e gestão da informação quanto
responsabilidades de usuários, dirigentes, gestores e custodiantes da
informação. Tais documentos complementares, como política de senhas,
política de controle de acesso, política de cópias de segurança de arquivos,
política de contratação e instalação de equipamentos e software, são
atualizados com maior freqüência.
Na Resolução-TCU nº 217/2008, medidas de segurança da
informação sobre acesso a informações (art. 8º), planos de continuidade
de negócios e de divulgação (art. 9º), classificação da informação (art.
29Segurança da informação no TCU: política corporativa comentada
10), responsabilidades quanto à segurança da informação (arts. 11 a
13), direitos autorais (arts. 14 e 15), e uso de recursos de tecnologia
da informação (art. 16), e outras não mencionadas expressamente na
Resolução, serão regulamentadas por normas complementares.
Art. 1° [...]
Parágrafo único. Integram, também, a PCSI/TCU normas gerais e
específicas de segurança da informação, bem como procedimentos
complementares, destinados à proteção da informação e à disciplina de sua
utilização, emanados no âmbito do Tribunal.
Art. 8º O acesso às informações produzidas ou custodiadas pelo Tribunal, que
não sejam de domínio público, deve ser limitado às atribuições necessárias
ao desempenho das respectivas atividades dos usuários internos ou usuários
colaboradores [...]
Art. 9º As medidas de segurança da informação devem ser planejadas,
aplicadas, implementadas e, periodicamente, avaliadas de acordo com os
objetivos institucionais e os riscos para as atividades do TCU [...]
Art. 10. As informações produzidas ou custodiadas pelo Tribunal serão
classificadas em função do seu grau de confidencialidade, criticidade,
disponibilidade, integridade e prazo de retenção [...]
Art. 11. São responsabilidades do gestor da informação, no que concerne às
informações sob sua gestão, produzidas ou custodiadas pelo Tribunal [...]
Art. 12. São responsabilidades do custodiante da informação [...]
30 Tribunal de Contas da União
Art. 13. São responsabilidades dos dirigentes das unidades e demais chefias
do Tribunal, no que se refere à segurança da informação [...]
Art. 14. As informações produzidas por usuários internos e colaboradores,
no exercício de suas funções, são patrimônio intelectual do TCU e não cabe
a seus criadores qualquer forma de direito autoral [...]
Art. 15. Os contratos, convênios, acordos de cooperação e outros
instrumentos congêneres celebrados pelo Tribunal devem observar, no que
couber, o contido no artigo anterior e nos demais dispositivos integrantes
da PCSI/TCU.
Art. 16. O uso de recursos de tecnologia da informação do TCU será
regulamentado em norma específica, respeitando-se os dispositivos legais.
1.19 Uma vez definida, a PCSI/TCU pode ser alterada?
A política corporativa de segurança da informação não só pode
ser alterada, como deve passar por processo de revisão que garanta sua
reavaliação a qualquer mudança que afete a análise de risco original,
tais como: incidente de segurança significativo, novas vulnerabilidades,
mudanças organizacionais ou na infra-estrutura tecnológica. Além disso,
deve haver análise periódica da efetividade da política, demonstrada pelo
tipo, quantidade e impacto dos incidentes de segurança registrados. É
desejável, também, que sejam avaliados o custo e o impacto dos controles
previstos para a eficiência do negócio, a fim de que a política não seja
comprometida pelo excesso ou escassez de controles. Na Resolução-TCU
nº 217/2008, em seu art. 18, está prevista a atualização da política de
segurança no máximo a cada cinco anos.
31Segurança da informação no TCU: política corporativa comentada
Esta nova edição da PCSI/TCU substitui a versão anterior, editada
na Resolução – TCU nº 126, de 3 de novembro de 1999.
Art. 18 [...]
§ 2º Compete também ao Comitê apresentar proposta de revisão da PCSI/
TCU, no máximo a cada cinco anos, de modo a atualizar a política frente a
novos requisitos corporativos.
1.20 A quem a PCSI/TCU deve ser divulgada?
A ampla divulgação da PCSI/TCU a usuários internos e
colaboradores, prevista no artigo 9º da Resolução-TCU nº 217/2008, é um
passo indispensável para que o processo de implantação tenha sucesso.
Políticas de segurança da informação, de uma maneira geral, devem ser
de conhecimento de todos que interagem com a organização e que, direta
ou indiretamente, são por ela afetados. É importante, ainda, que a política
esteja permanentemente acessível a todos os envolvidos.
Art. 9º [...]
§ 2º Ações permanentes de divulgação, treinamento, educação e
conscientização dos usuários, em relação aos conceitos e às praticas de
segurança da informação em toda sua abrangência, devem ser coordenadas
pela Assig, com o apoio do Instituto Serzedello Corrêa e das demais
unidades pertinentes.
32 Tribunal de Contas da União
1.21 O que fazer quando a PCSI/TCU for violada?
De acordo com a Resolução-TCU nº 217/2008, é responsabilidade
dos usuários internos e colaboradores reportar os incidentes em
segurança da informação de que tenham conhecimento (art. 7º),
enquanto que aos dirigentes de unidades e demais chefias do Tribunal
cabe tomar medidas para que sejam aplicadas ações corretivas (art. 13).
A violação da política pode acarretar desde advertência verbal ou escrita
até ação judicial (art. 17).
Art. 7º [...]
§ 2º Os usuários internos e colaboradores são responsáveis por garantir a
segurança das informações do TCU a que tenham acesso e por reportar
à Assig os incidentes em segurança da informação de que tenham
conhecimento.
Art. 13. São responsabilidades dos dirigentes das unidades e demais chefias
do Tribunal, no que se refere à segurança da informação [...]
III – tomar as medidas administrativas necessárias para que sejam aplicadas
ações corretivas nos casos de comprometimento da segurança da informação
por parte dos usuários internos e colaboradores sob sua supervisão.
Art. 17. A não-observância aos dispositivos da PCSI/TCU pode acarretar,
isolada ou cumulativamente, nos termos da legislação aplicável, sanções
administrativas, civis e penais, assegurados aos envolvidos o contraditório
e a ampla defesa.
33Segurança da informação no TCU: política corporativa comentada
1.22 Referências
1. Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27002 -
Tecnologia da informação: técnicas de segurança - código de prática para
a gestão da segurança da informação. Rio de Janeiro: ABNT, 2005. 120p.
2. BRASIL. Tribunal de Contas da União. Boas práticas em segurança da
informação. 2ª ed. Brasília: TCU, 2007. 70p.
3. DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de
Janeiro: Axcel Books, 2000. 218p.
34 Tribunal de Contas da União
35Segurança da informação no TCU: política corporativa comentada
Responsabilidade pelo conteúdo
Secretaria-Geral da Presidência
Assessoria em Segurança da Informação e Apoio à
Governança de Tecnologia da Informação
Responsabilidade editorial
Secretaria-Geral da Presidência
Instituto Serzedello Corrêa
Centro de Documentação
Editora do TCU
Capa
Brenda Oliveira Kelly
Impresso pela Sesap/Segedam