Governo falha na classificação dos ativos de Informação

Autor: Marlon Borba

O Tribunal de Contas da União – TCU – realizou um Levantamento de Governança de TI, no qual incluiu achados relativos à Segurança da Informação nas instituições públicas federais. O estudo – de 2012 – avaliou mais de trezentas entidades dos três Poderes da União, com base nas determinações do Acórdão 2.308/2010 TCU, nas diretrizes do modelo COBIT 5 e nas normas brasileiras sobre Segurança da Informação e Governança de Tecnologia da Informação.

Para nossa apreciação, lançaremos mão do Sumário Executivo, que pode ser localizado no sítio Internet do TCU. Aconselho o leitor a fazer o download de uma cópia com a qual nos poderá acompanhar. As informações referentes a Segurança da Informação podem ser lidas nas páginas 15 e 16 do Sumário.

As mais preocupantes constatações do TCU dizem respeito à falta de uma Classificação de Ativos de Informação. Nos termos do Sumário, em 2012, apenas 17% das instituições fiscalizadas implementaram tal processo. Isso equivale a dizer que essas instituições desconhecem a efetiva criticidade dos Ativos de Informação para a sua missão, e portanto não conseguem avaliar as ameaças a eles e os riscos delas decorrentes (por sinal, poucas das instituições examinadas, apenas 10%, possuem um processo sistemático de análise de riscos).

A pergunta na cabeça do leitor é certamente esta: o que fazer?

Considero que, em primeiro lugar, é preciso conhecer e mapear os Ativos de Informação tratados pela instituição. Naturalmente isso não é uma responsabilidade exclusiva da área de TI ou da Segurança da Informação, mas é necessário que a alguém seja ela atribuída. Por exemplo, uma equipe responsável pelo mapeamento dos processos de negócio certamente poderá produzir, como um subproduto, um levantamento dos Ativos de Informação utilizados em cada um desses processos.

Uma norma de referência para o mapeamento de Ativos de Informação foi produzida pelo Departamento de Segurança da Informação e das Comunicações – DSIC – do Poder Executivo Federal; é a Norma Complementar nª 10, de 27 de janeiro de 2012, que pode ser lida em http://dsic.planalto.gov.br/documentos/nc_10_ativos.pdf

De qualquer forma, conhecidos e identificados esses Ativos de Informação, e determinado o seu ciclo de vida dentro do negócio, é preciso atribuir-lhes uma Classificação, que leva em conta os critérios de Autenticidade, de Confidencialidade, de Disponibilidade e de Integridade. Isso não quer dizer que cada um, e todos, os Ativos devam ser classificados; no entanto, deve-se pensar naqueles indispensáveis aos processos de negócio críticos para a organização.

Como possíveis fundamentos para a Classificação, especificamente na Administração Pública Federal, devem ser lembrados:

Lei 12.527, de 18 de novembro de 2011
Regula o acesso a informações previsto no inciso XXXIII do art. 5o, no inciso II do § 3o do art. 37 e no § 2o do art. 216 da Constituição Federal; altera a Lei no 8.112, de 11 de dezembro de 1990; revoga a Lei no 11.111, de 5 de maio de 2005, e dispositivos da Lei no 8.159, de 8 de janeiro de 1991; e dá outras providências.

Decreto Nº 7.845, de 14 de novembro de 2012
Regulamenta os procedimentos para credenciamento de segurança e tratamento de informação classificada em qualquer grau de sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento.

Decreto Nº 3.505, de 13 de junho de 2000.
Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal.

Como já dissemos, o Mapeamento e a Classificação dos Ativos de Informação permitirá que as instituições públicas determinem o quão críticos serão eles para a sua missão; identifiquem as ameaças a eles e os riscos delas decorrentes; e através de um processo de análise de riscos implementem controles que reduzam os impactos decorrentes da exploração dessas ameaças.

– Chega a 1 mi número de malwares móveis e aplicativos de alto risco

– Facebook reforça privacidade de usuários que usam aplicativos de terceiros

Fonte: Convergência Digital