Segurança da Informação

O que é segurança da informação?

A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e conseqüentemente necessita ser adequadamente protegida. Isto é especialmente importante no ambiente dos negócios, cada vez mais interconectado. Como um resultado deste incrível aumento da interconectvidade, a informação está agora exposta a um crescente número e a uma grande variedade de ameaças e vulnerabilidades (ver OECD Diretrizes para a Segurança de Sistemas de Informações e Redes).
A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.
Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.
A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.
Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.

Por que a segurança da informação é necessária?

A informação e os processos de apoio, sistemas e redes são importantes ativos para os negócios.
Definir, alcançar, manter e melhorar a segurança da informação podem ser atividades essenciais para assegurar a competitividade, o fluxo de caixa, a lucratividade, o atendimento aos requisitos legais e a imagem da organização junto ao mercado.
As organizações, seus sistemas de informação e redes de computadores são expostos a diversos tipos de ameaças à segurança da informação, incluindo fraudes eletrônicas, espionagem, sabotagem, vandalismo, incêndio e inundação. Danos causados por código malicioso, hackers e ataques de denial of service estão se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados.
A segurança da informação é importante para os negócios, tanto do setor público como do setor privado, e para proteger as infra-estruturas críticas. Em ambos os setores, a função da segurança da informação é viabilizar os negócios como o governo eletrônico (e-gov) ou o comércio eletrônico (e-business), e evitar ou reduzir os riscos relevantes. A interconexão de redes públicas e privadas e o compartilhamento de recursos de informação aumentam a dificuldade de se controlar o acesso. A tendência da computação distribuída reduz a eficácia da implementação de um controle de acesso centralizado.
Muitos sistemas de informação não foram projetados para serem seguros. A segurança da informação que pode ser alcançada por meios técnicos é limitada e deve ser apoiada por uma gestão e por procedimentos apropriados. A identificação de controles a serem implantados requer um planejamento cuidadoso e uma atenção aos detalhes. A gestão da segurança da informação requer pelo menos a participação de todos os funcionários da organização. Pode ser que seja necessária também a participação de acionistas, fornecedores,
terceiras partes, clientes ou outras partes externas. Uma consultoria externa especializada pode ser também necessária.

Histórico da CSI

A Comissão de Segurança da Informação (CSI), inicialmente designada por meio da Portaria DG nº 573/2009 de 02 de outubro de 2009, passou por sucessivas alterações, resultando na composição dada pela Portaria ASSESP nº 612 de 30 de novembro de 2017 reestruturada pela Portaria ASSESP nº 142 de 20 de março de 2018, por maio da qual foi dada a composição atual.

Em observância ao art. 6º da Resolução nº 23.501/2016, foram editadas as seguintes Normas de Segurança da Informação (NSIs):

NSI-001 – Gestão de Incidentes em Segurança da Informação;
NSI-002 – Uso de Recursos de Tecnologia da Informação e Controle de Acessos;
NSI-003 – Controle de Acesso à Internet;
NSI-004 – Acesso Remoto;
NSI-005 – Serviço de Correio Eletrônico Institucional;
NSI-006 – Gestão de Riscos de Tecnologia da Informação e Comunicação;
NSI-007 – Procedimentos de Back Up e Recuperação de Dados;
NSI-008 – Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais – ETIR;
NSI-009 – Gestão de Incidentes de Segurança em Redes Computacionais;
NSI-010 - Uso de Recursos Criptográficos;
NSI-011 - Proteção contra Códigos Maliciosos;
NSI-012 - Uso de redes sociais;
NSI-013 - Gerenciamento de Contas de Usuários Terceirizados, Estagiários, Requisitados, Juízes e Servidores Aposentados;
NSI-014 - Armazenamento em Serviços de Computação em Nuvem.

Resolução Administrativa nº02/2022 - Altera a Resolução Administrativa nº13/2021, que regulamenta o acesso a informações no TRE-BA

Resolução Administrativa nº13/2021 - Regulamenta o acesso a informações no TRE-BA (Dispõe sobre a aplicação da Lei nº12.527, de 18/11/2021)

Norma PSI - TSE | TRE-BA

Portaria 611_2017 - Formaliza adoção PSI do TSE

Compõe a estrutura de Segurança da Informação do Tribunal Regional Eleitoral da Bahia:

- Comitê de Governança de Segurança da Informação (CGSI)

A composição do CGSI está prevista no Art. 13-A da Resolução Administrativa nº 33/2019, alterada pela Resolução Administrativa nº 39/2022. (Acesse a página do CGSI).

- Equipe Técnica de Tratamento e Resposta a Incidentes em Redes Computacionais – ETIR

Instituída pela Portaria nº 641, de 21 de dezembro de 2017 e tem a sua composição prevista na no anexo VIII (NSI-008) da Portaria nº 356/2018.

- Gestor de Segurança da Informação

Portaria nº 937, de 01 de dezembro de 2022 – Designa o Gestor da Segurança da Informação.

Gestor: Titular da Assessoria de Gestão de Segurança da Informação

- Assessoria de Gestão de Segurança da Informação

Titular: Juliana Silva Nunes, e-mail: assgsi@tre-ba.jus.br, telefone: (71) 3373-9287.

- Assessoria de Segurança Cibernética

Titular: Rilson Barros de Almeida, e-mail: assesc@tre-ba.jus.br, telefone: (71) 3373-7395.

Conteúdo extraído da publicação "Boas práticas em segurança da informação" 2. ed. – Brasília Tribunal de Contas da União - TCU - Secretaria de Fiscalização de Tecnologia da Informação, 2007

O que é disponibilidade de informações?

Consiste na garantia de que as informações estejam acessíveis às pessoas e aos processos autorizados, a qualquer momento requerido, durante o período acordado entre os gestores da informação e a área de informática. Manter a disponibilidade de informações pressupõe garantir a prestação contínua do serviço, sem interrupções no fornecimento de informações para quem de direito.

Por que é importante zelar pela segurança de informações?

Porque a informação é um ativo muito importante para qualquer organização, podendo ser considerada, atualmente, o recurso patrimonial mais crítico. Informações adulteradas, nãodisponíveis, sob conhecimento de pessoas de má-fé ou de concorrentes podem comprometer significativamente, não apenas a imagem da organização perante terceiros, como também o andamento dos próprios processos organizacionais.

É possível inviabilizar a continuidade de uma organização se não for dada a devida atenção à segurança de suas informações.

O que é política de segurança de informações - PSI?

Política de segurança de informações é um conjunto de princípios que norteiam a gestão de segurança de informações e que deve ser
observado pelo corpo técnico e gerencial e pelos usuários internos e externos. As diretrizes estabelecidas nesta política determinam as linhas mestras que devem ser seguidas pela organização para que sejam assegurados seus recursos computacionais e suas informações.

Quem são os responsáveis por elaborar a PSI?

É recomendável que na estrutura da organização exista uma área responsável pela segurança de informações, a qual deve iniciar o
processo de elaboração da política de segurança de informações, bem como coordenar sua implantação, aprová-la e revisá-la, além de
designar funções de segurança.
Vale salientar, entretanto, que pessoas de áreas críticas da organização devem participar do processo de elaboração da PSI, como a
alta administração e os diversos gerentes e proprietários dos sistemas informatizados. Além disso, é recomendável que a PSI seja aprovada pelo mais alto dirigente da organização.

Que assuntos devem ser abordados na PSI?

A política de segurança de informações deve extrapolar o escopo abrangido pelas áreas de sistemas de informação e pelos recursos
computacionais. Ela não deve ficar restrita à área de informática. Ao contrário, ela deve estar integrada à visão, à missão, ao negócio e às metas institucionais, bem como ao plano estratégico de informática e às políticas da organização concernentes à segurança em geral.
O conteúdo da PSI varia, de organização para organização, em função de seu estágio de maturidade, grau de informatização, área de
atuação, cultura organizacional, necessidades requeridas, requisitos de segurança, entre outros aspectos. No entanto, é comum a presença de alguns tópicos na PSI, tais como:

- definição de segurança de informações e de sua importância como mecanismo que possibilita o compartilhamento de informações;
- declaração do comprometimento da alta administração com a PSI, apoiando suas metas e princípios;
- objetivos de segurança da organização;
- definição de responsabilidades gerais na gestão de segurança de informações;
- orientações sobre análise e gerência de riscos;
- princípios de conformidade dos sistemas computacionais com a PSI;
- padrões mínimos de qualidade que esses sistemas devem possuir;
- políticas de controle de acesso a recursos e sistemas computacionais;
- classificação das informações (de uso irrestrito, interno, confidencial e secretas);
- procedimentos de prevenção e detecção de vírus;
- princípios legais que devem ser observados quanto à tecnologia da informação (direitos de propriedade de produção intelectual, direitos sobre software, normas legais correlatas aos sistemas desenvolvidos, cláusulas contratuais);
- princípios de super visão constante das tentativas de violação da segurança de informações;
- consequências de violações de normas estabelecidas na política de segurança;
- princípios de gestão da continuidade do negócio;
- plano de treinamento em segurança de informações.

Qual o nível de profundidade que os assuntos abordados na PSI devem ter?

A política de segurança de informações deve conter princípios, diretrizes e regras genéricos e amplos, para aplicação em toda a organização. Além disso, ela deve ser clara o suficiente para ser bem compreendida pelo leitor em foco, aplicável e de fácil aceitação. A complexidade e extensão exageradas da PSI pode levar ao fracasso de sua implementação.
Cabe destacar que a PSI pode ser composta por várias políticas inter-relacionadas, como a política de senhas, de backup, de contratação e instalação de equipamentos e softwares. Ademais, quando a organização achar conveniente e necessário que sua PSI seja mais
abrangente e detalhada, sugere-se a criação de outros documentos que especifiquem práticas e procedimentos e que descrevam com mais detalhes as regras de uso da tecnologia da informação. Esses documentos costumam dispor sobre regras mais específicas, que detalham as responsabilidades dos usuários, gerentes e auditores e, normalmente, são atualizados com maior freqüência. A PSI é o primeiro de muitos documentos com informações cada vez mais detalhadas sobre procedimentos, práticas e padrões a serem aplicados em determinadas circunstâncias, sistemas ou recursos.

Como se dá o processo de implantação da PSI?

O processo de implantação da política de segurança de informações deve ser formal. No decorrer desse processo, a PSI deve permanecer passível a ajustes para melhor adaptar-se às reais necessidades. O tempo desde o início até a completa implantação tende a ser longo. Em resumo, as principais etapas que conduzem à implantação bem-sucedida da PSI são: elaboração, aprovação, implementação, divulgação e manutenção. Muita atenção deve ser dada às duas últimas etapas, haja vista ser comum sua não observância.
Normalmente, após a consecução das três primeiras etapas, as gerências de segurança acreditam ter cumprido o dever e esquecem da
importância da divulgação e atualização da PSI.
De forma mais detalhada, pode-se citar como as principais fases que compõem o processo de implantação da PSI:
- identificação dos recursos críticos;
- classificação das informações;
- definição, em linhas gerais, dos objetivos de segurança a serem atingidos;
- análise das necessidades de segurança (identificação das possíveis ameaças, análise de riscos e impactos);
- elaboração de proposta de política;
- discussões abertas com os envolvidos;
- apresentação de documento formal à gerência superior;
- aprovação;
- publicação;
- divulgação;
- treinamento;
- implementação;
- avaliação e identificação das mudanças necessárias;
- revisão.

Qual o papel da alta administração na elaboração e implantação da PSI?

O sucesso da PSI está diretamente relacionado com o envolvimento e a atuação da alta administração. Quanto maior for o
comprometimento da gerência superior com os processos de elaboração e implantação da PSI, maior a probabilidade de ela ser efetiva e
eficaz. Esse comprometimento deve ser expresso formalmente, por escrito.

A quem deve ser divulgada a PSI?

A divulgação ampla a todos os usuários internos e externos à organização é um passo indispensável para que o processo de implantação da PSI tenha sucesso. A PSI deve ser de conhecimento de todos que interagem com a organização e que, direta ou indiretamente, serão afetados por ela. É necessário que fique bastante claro, para todos, as consequências advindas do uso inadequado dos sistemas computacionais e de informações, as medidas preventivas e corretivas que estão a seu cargo para o bom, regular e efetivo controle dos ativos computacionais. A PSI fornece orientação básica aos agentes envolvidos de como agir corretamente para atender às regras nela estabelecidas. É importante, ainda, que a PSI esteja permanentemente acessível a todos.

O que fazer quando a PSI for violada?

A própria Política de Segurança de Informações deve prever os procedimentos a serem adotados para cada caso de violação, de acordo com sua severidade, amplitude e tipo de infrator que a perpetra. A punição pode ser desde uma simples advertência verbal ou escrita até uma ação judicial.
A Lei n.º 9.983, de 14 de julho de 2000, que altera o Código Penal Brasileiro, já prevê penas para os casos de violação de integridade e quebra de sigilo de sistemas informatizados ou banco de dados da Administração Pública. O novo art. 313-A trata da inserção de dados falsos em sistemas de informação, enquanto o art. 313-B discorre sobre a modificação ou alteração não autorizada desses mesmos sistemas. O § 1º do art. 153 do Código Penal foi alterado e, atualmente, define penas quando da divulgação de informações sigilosas ou reservadas, contidas ou não nos bancos de dados da Administração Pública. O fornecimento ou empréstimo de senha que possibilite o acesso de pessoas não autorizadas a sistemas de informações é tratado no inciso I do § 1º do art. 325 do Código Penal.
Neste tópico, fica ainda mais evidente a importância da conscientização dos funcionários quanto à PSI. Uma vez que a Política seja de
conhecimento de todos da organização, não será admissível que as pessoas aleguem ignorância quanto às regras nela estabelecidas a fim de livrar-se da culpa sobre violações cometidas.
Quando detectada uma violação, é preciso averiguar suas causas, consequências e circunstâncias em que ocorreu. Pode ter sido
derivada de um simples acidente, erro ou mesmo desconhecimento da PSI, como também de negligência, ação deliberada e fraudulenta. Essa averiguação possibilita que vulnerabilidades, até então desconhecidas pelo pessoal da gerência de segurança, passem a ser consideradas, exigindo, se for o caso, alterações na PSI.

Uma vez definida, a PSI pode ser alterada?

A PSI não só pode ser alterada, como deve passar por processo de revisão definido e periódico que garanta sua reavaliação a qualquer mudança que venha afetar a análise de risco original, tais como: incidente de segurança significativo, novas vulnerabilidades, mudanças organizacionais ou na infraestrutura tecnológica. Além disso, deve haver análise periódica da efetividade da política, demonstrada pelo tipo, volume e impacto dos incidentes de segurança registrados. É desejável, também, que sejam avaliados o custo e o impacto dos controles na eficiência do negócio, a fim de que esta não seja comprometida pelo excesso ou escassez de controles.
É importante frisar, ainda, que a PSI deve ter um gestor responsável por sua manutenção e análise crítica.

Existem normas sobre PSI para a Administração Pública Federal?

O Decreto n.º 3.505, de 13 de junho de 2000, instituiu a Política de Segurança da Informação nos órgãos e entidades da Administração
Pública Federal. Em linhas gerais, os objetivos traçados nessa PSI dizem respeito à necessidade de capacitação e conscientização das pessoas lotadas nos órgãos e entidades da Administração Pública Federal quanto aos aspectos de segurança da informação; e necessidade de elaboração e edição de instrumentos jurídicos, normativos e organizacionais que promovam a efetiva implementação da segurança da informação. Com relação às matérias que esses instrumentos devem versar, o Decreto menciona:
- padrões relacionados ao emprego dos produtos que incorporam recursos criptográficos;
- normas gerais para uso e comercialização dos recursos criptográficos;
- normas, padrões e demais aspectos necessários para assegurar a confidencialidade dos dados;
- normas relacionadas à emissão de certificados de conformidade;
- normas relativas à implementação dos sistemas de segurança da informação, com intuito de garantir a sua interoperabilidade, obtenção
- dos níveis de segurança desejados e permanente disponibilidade dos dados de interesse para a
defesa nacional.