Implantando a

Gesto da Segurana da Informao

no TCU
Marisa Alho
Assessoria de Segurana da Informao e
Governana de Tecnologia da Informao
(Assig)

Assessoria de Segurana da Informao e Governana de TI

Competncia da Assig:
A Assig tem por finalidade coordenar, orientar e
acompanhar a implementao da Poltica
Corporativa de Segurana da Informao, da Poltica
de Governana de Tecnologia da Informao e da
Poltica Corporativa de Continuidade de Negcios,
bem como assegurar...

Segurana da
Informao

Gesto de
Continuidade
de Negcio

Governana
de TI

Objetivo
Identificar fatores crticos de sucesso e
dificuldades em um processo de implantao da
gesto da segurana da informao, com base
na experincia do TCU.
Que os auditores possam identificar pontos a serem
observados em auditorias.
Que os gestores pblicos possam identificar fatores
importantes para o sucesso da implantao de aes
de segurana.

TCU e a Segurana da Informao

Segurana da
Informao

Gesto de
Continuidade
de Negcio

Governana
de TI

Por que Segurana da Informao no TCU?

Prestaes
de
contas

Solicitaes
CN
Denncias

Acrdos
Documentos
gerais

Vistas

Recursos

Sistemas
de
informao

Pareceres e
relatrios

Publicaes
TCU

Bases
de
dados

Papis de
trabalho

Bases
de
dados

Informaes
para o CN

Como se faz SI no TCU?

Baseada em normas internacionais

Segurana da Informao no TCU

Organizao da Segurana da Informao

Poltica de Segurana da Informao
Sistema de Gesto da Segurana da Informao
Classificao da Informao
Gesto de Incidentes de Segurana da Informao
Gesto de Riscos de Segurana da Informao
Conscientizao

Agenda

Segurana da Informao no TCU

Organizao da Segurana da Informao
ABNT NBR ISO/IEC 27001:2013 captulo 5 (5.3)
ABNT NBR ISO/IEC 27002:2013 captulo 6

Poltica de Segurana da Informao

Sistema de Gesto da Segurana da Informao
Classificao da Informao
Gesto de Incidentes de Segurana da Informao
Gesto de Riscos de Segurana da Informao
Conscientizao

Organizao da Segurana da Informao

Antes 2008
Estruturas de segurana da informao dentro da TI

2008
Criao da Assessoria de Segurana da Informao e
Governana de TI Assig
Criao do Comit de Segurana da Informao CSI

2009
Criao do Servio de Segurana da Informao em TI Sesti

Organizao da Segurana da Informao

Comit de
Segurana
da
Informao

Segurana da Informao no TCU

Organizao da Segurana da Informao
Poltica de Segurana da Informao
ABNT NBR ISO/IEC 27001:2013 captulo 5 (5.2)
ABNT NBR ISO/IEC 27002:2013 captulo 5

Sistema de Gesto da Segurana da Informao

Classificao da Informao
Gesto de Incidentes de Segurana da Informao
Gesto de Riscos de Segurana da Informao
Conscientizao

Poltica de Segurana da Informao

1999
Poltica de Segurana da Informao do TCU (1)
Foco excessivo em aspectos tecnolgicos
No tinha dono

2008
Poltica Corporativa de Segurana da Informao do TCU

Resoluo-TCU n 217/2008
Foco em princpios e diretrizes
Abordagem holstica (processos, pessoas e tecnologia)
Atribui responsabilidades
Aspectos tecnolgicos em normativos adicionais

Poltica de Segurana da Informao

2013/2014
Poltica Corporativa de Segurana da Informao do TCU
Criao do SGSI/TCU Sistema de Gesto da Segurana da
Informao no TCU
Texto revisado para ampliar entendimento

Poltica de Segurana da Informao

Texto anterior:
Os usurios internos e colaboradores so responsveis por ... reportar Assig os
incidentes em segurana da informao de que tenham conhecimento.

Texto novo:
Art. 7 A gesto de incidentes em segurana da informao tem por objetivo
assegurar que fragilidades e incidentes em segurana da informao sejam
identificados, permitindo a tomada de ao corretiva em tempo hbil.
Pargrafo nico. Autoridades, servidores e quaisquer colaboradores do Tribunal
so responsveis por:
I - reportar tempestivamente Assessoria de Segurana da Informao e
Governana de TI (Assig) os incidentes em segurana da informao de que
tenham cincia ou suspeita; e
II - colaborar, em suas reas de competncia, na identificao e no tratamento de
incidentes em segurana da informao.

Segurana da Informao no TCU

Organizao da Segurana da Informao
Poltica de Segurana da Informao
Sistema de Gesto da Segurana da Informao
ABNT NBR ISO/IEC 27001:2013 captulo 4 (4.4)

Classificao da Informao
Gesto de Incidentes de Segurana da Informao
Gesto de Riscos de Segurana da Informao
Conscientizao

SGSI/TCU Sistema de Gesto da Segurana da Informao do TCU

2013/2014
Criao do SGSI/TCU
(3 verso da PCSI/TCU)

Segurana da Informao no TCU

Organizao da Segurana da Informao

Poltica de Segurana da Informao
Sistema de Gesto da Segurana da Informao
Classificao da Informao
ABNT NBR ISO/IEC 27002:2013 captulo 8 (8.2)

Gesto de Incidentes de Segurana da Informao

Gesto de Riscos de Segurana da Informao
Conscientizao

Classificao da Informao
2009
1 norma de Classificao da Informao
No precedida de inventrio de ativos
Resoluo-TCU n 229/2009
Portaria-TCU n 124/2010 - controles

2013
2 norma de Classificao da Informao
No precedida de inventrio de ativos
Resoluo-TCU n 254/2013
Adaptao Lei 12.527/2011 (Lei de Acesso Informao)

Segurana da Informao no TCU

Organizao da Segurana da Informao

Poltica de Segurana da Informao
Sistema de Gesto da Segurana da Informao
Classificao da Informao
Gesto de Incidentes de Segurana da Informao
ABNT NBR ISO/IEC 27002:2013 captulo 16

Gesto de Riscos de Segurana da Informao

Conscientizao

Gesto de Incidentes de Segurana da Informao

2010
Incio do registro e tratamento de incidentes
Desenho do processo de trabalho, em conjunto com TI

2012
Desenvolvimento de sistema para gesto dos incidentes

2014
Elaborao de norma de gesto de incidentes de
segurana da informao (em andamento)

Gesto de Incidentes de Segurana da Informao

Referncia: 07/2014

Gesto de Incidentes de Segurana da Informao

Referncia: 07/2014

Gesto de Incidentes de Segurana da Informao

Referncia: 07/2014

Gesto de Incidentes de Segurana da Informao

Referncia: 07/2014

Segurana da Informao no TCU

Organizao da Segurana da Informao

Poltica de Segurana da Informao
Sistema de Gesto da Segurana da Informao
Classificao da Informao
Gesto de Incidentes de Segurana da Informao
Gesto de Riscos de Segurana da Informao
ABNT NBR ISO/IEC 27001:2013 captulos 6 (6.1) e 8

Conscientizao

Gesto de Riscos de Segurana da Informao

2011
Incio do processo
Mtodo quantitativo, com base na ABNT NBR ISO/IEC 27005:2011

1 edio de avaliao de riscos

2012
Reviso do mtodo
Mtodo qualitativo, baseado no FRAAP + ABNT NBR ISO
31000:2009

2 edies de avaliao de riscos

Gesto de Riscos de Segurana da Informao

2013
Gesto das aes decorrentes das 3 edies passadas
Desenvolvimento de ferramenta de apoio

2014
2 edies de avaliao
Gesto dos riscos
Elaborao de norma de gesto de incidentes de
segurana da informao (em andamento)

Gesto de Riscos de Segurana da Informao

Referncia: 07/2014
31

Gesto de Riscos de Segurana da Informao

Referncia: 07/2014
32

Gesto de Riscos de Segurana da Informao

Referncia: 07/2014
33

Gesto de Riscos de Segurana da Informao

Referncia: 07/2014
34

Segurana da Informao no TCU

Organizao da Segurana da Informao

Poltica de Segurana da Informao
Sistema de Gesto da Segurana da Informao
Classificao da Informao
Gesto de Incidentes de Segurana da Informao
Gesto de Riscos de Segurana da Informao
Conscientizao
ABNT NBR ISO/IEC 27001:2013 captulo 7 (7.3)

Conscientizao em Segurana da Informao

O ser humano a tecnologia de maior

complexidade
(autor desconhecido)

Conscientizao em Segurana da Informao

Dicas semanais no jornal interno (Unio)

Coluna Aprendendo com a Notcia
Dia da Segurana da Informao
Quiz em Segurana da Informao
Participao em treinamentos institucionais
ProAudi
Segurana da Informao em Auditorias (TCU e TCEs)
Segurana da Informao para Olacefs

Cartilhas e Folders
Portal TCU comunidade de SI

Conscientizao em Segurana da Informao

DICAS SEMANAIS
ANO

QUANTIDADE

2009

20

2010

2011

36

2012

35

2013

41

2014

23
Referncia: 07/2014

Conscientizao em Segurana da Informao

Aprendendo com a Notcia
ANO

QUANTIDADE

2011

2012

2013

2014

5
Referncia: 07/2014

Conscientizao em Segurana da Informao

Segurana da Informao no TCU

Agenda

Organizao da Segurana da Informao

Poltica de Segurana da Informao
Sistema de Gesto da Segurana da Informao
Classificao da Informao
Gesto de Incidentes de Segurana da Informao
Gesto de Riscos de Segurana da Informao
Conscientizao

Objetivo
Identificar fatores crticos de sucesso e
dificuldades em um processo de implantao da
gesto da segurana da informao, com base
na experincia do TCU.
Que os auditores possam identificar pontos a serem
observados em auditorias.
Que os gestores pblicos possam identificar fatores
importantes para o sucesso da implantao de aes
de segurana.

Segurana da Informao no TCU

- Resumindo Dimenso da SI
Organizao da SI

Dificuldades
SI na TI
Comit executivo

Fatores Crticos de Sucesso

Estruturas prprias: foco corporativo /
foco TI
Comit deliberativo, representativo

Poltica de SI

Sistema de Gesto
da SI
Classificao da
Informao

Aspectos tecnolgicos

Foco corporativo

Sem dono

Com dono

Sem atualizao
Inexistncia: ausncia de
viso global da SI

Reviso peridica
Existncia: direciona planejamento

Falta de cultura

Adaptao LAI

Comunica a SI

Conscientizao / treinamento / apoio

Comear!

Segurana da Informao no TCU

- Resumindo Dimenso da SI
Dificuldades
Gesto de Incidentes Baixa tempestividade
de SI
Baixa comunicao

Gesto de Riscos de
SI

Conscientizao em
SI
Segurana da
Informao

Fatores Crticos de Sucesso

Tempestividade
Parcerias

Baixa prioridade

Ferramenta de apoio

Ausncia de norma
Avaliao sem gesto

Priorizar
Processo gil (qualitativo)

Processo ISO 27005

Compromisso das partes

Ausncia gesto de riscos

corporativa

Ferramenta de apoio

Baixa prioridade

Fazer!
Persistncia
Mltiplos canais

Risco de descontinuidade

Priorizar
Processo contnuo

Conhecer a organizao
Normas internacionais

Obrigada
Marisa Alho
Tribunal de Contas da Unio
Assessoria de Segurana da Informao e
Governana de TI - Assig
assig@tcu.gov.br

If you really want to do something, you'll find a way.

If you don't, you'll find an excuse.
(Jim Rohn)