TRABALHO DE MELLADO ET AL (2011).
Como as normas do DSIC foram publicadas em momentos diferentes e com objetivos específicos, a avaliação do alinhamento aos critérios definidos por Mellado et al (2011) dar-se-á pelo conjunto das normas, que formam o arcabouço normativo atual. Ressalta-se que, conforme explicitado anteriormente, existem várias outras normas emanadas pelo DSIC, contudo foram selecionadas somente
aquelas que possuíam relacionamento à GovSI, no entendimento do autor. Os critérios de Mellado et al (2011) são agrupados em quatro grandes blocos:
a) Governança de TI;
b) Governança Corporativa; c) Segurança; e,
d) Adequabilidade ao setor público.
Os elementos de cada bloco foram apresentados no referencial teórico. Para avaliação da aderência, foram utilizados os três níveis de conformidade (baixa, média, alta) utilizados por Mellado et al (2011) e a evidência que justifica a classificação. O resultado obtido é apresentado no quadro 4.
Quadro 4 - Avaliação de conformidade das normas do DSIC segundo os critérios definidos por Mellado et al.
Critérios Evidências Classificação da aderência Governança de TI
Alinhamento estratégico – onde a segurança da informação precisa estar alinhada à estratégia de negócios para atingir os objetivos institucionais.
Norma Complementar nº 10/IN01/DSIC/GSI/PR, de 30 de janeiro de 2012.
6 RESPONSABILIDADES 6.1 Cabe à Alta Administração do órgão ou entidade da APF aprovar as diretrizes gerais e o processo de Inventário e Monitoramento de Ativos de Informação, observada, dentre outros, a Política de Segurança da Informação e Comunicações e a Gestão de Riscos de Segurança da Informação e Comunicações, do órgão ou entidade da APF, bem como a sua missão e os seus objetivos
estratégicos;
Norma Complementar nº 04/IN01/DSIC/GSI/PR, de 15 de fevereiro de 2013.
2. Considerações iniciais 2.2 Convém que o processo de Gestão de Riscos de Segurança da Informação e Comunicações esteja alinhado ao planejamento estratégico da organização e, também, com o
Baixa, uma vez que somente nestas normas reporta-se ao alinhamento estratégico. Não há uma norma específica que trate do alinhamento estratégico.
corporativos, se esse existir. Entrega de valor ao
negócio pela TI – refere-se aos investimentos em TI promoverem a entrega dos benefícios prometidos aos negócios.
Os investimentos de TI são regidos pela IN 04 da Secretaria de Logística e de Tecnologia da Informação, vinculada ao MPOG. Não se aplica. Desempenho do gerenciamento (da instituição) – é o monitoramento das estratégias de segurança, visando garantir o alcance dos objetivos institucionais, no tempo devido.
Norma Complementar nº 02/IN01/DSIC/GSI/PR, de 13 de outubro de 2008.
Define a gestão de SIC baseada no ciclo PDCA [Planejar (Plan) - Fazer (Do) - Controlar (Check) - Agir (Act)], sendo as decisões sobre SI levadas à autoridade competente.
Alta, uma vez que a norma comtempla o
monitoramento das estratégias de segurança, em vários níveis.
Gerenciamento de riscos – com conscientização sobre riscos de segurança, identificando ameaças, vulnerabilidades e impactos para controlar e reduzir os riscos em toda a
organização.
Norma Complementar nº 04/IN01/DSIC/GSI/PR, de 15 de fevereiro de 2013.
Estabelece diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações (GRSIC).
Alta, uma vez que atende integralmente aos requisitos do critério.
Controle e accountability – cada pessoa na instituição precisa estar envolvida nos controles de segurança e precisa conhecer suas responsabilidades no
framework definido.
Norma Complementar nº
03/IN01/DSIC/GSI/PR, de 30 de junho de 2009.
Estabelece a Política de Segurança da Informação e Comunicações (POSIC); Define competências e responsabilidades, instituindo: Gestor de SIC; Comitê de SIC; Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR). 7 DIVULGAÇÃO DA POSIC
A POSIC e suas atualizações deverão ser divulgadas a todos os servidores, usuários, prestadores de serviço, contratados e terceirizados que
Média, uma vez que a POSIC é obrigatória para as instituições da APF e deve estabelecer as questões de controle e
accountability na
instituição. Todavia, não versa sobre
habitualmente trabalham no órgão ou entidade da APF. Governança Corporativa Objetivos institucionais – decisões estratégicas, desenvolvimento de políticas e orientações de segurança da informação, e os controles para monitorar se os objetivos instituicionais estão sendo atingidos.
Este critério é atendido pelas Norma Complementar nº
03/IN01/DSIC/GSI/PR, de 30 de junho de 2009 e Norma Complementar nº 02/IN01/DSIC/GSI/PR, de 13 de outubro de 2008.
Em conjunto, as normas trazem em seu escopo a obrigatoriedade da POSIC e a metodologia de
acompanhamento da gestão de SIC.
Alta, uma vez que a junção das normas atende ao critério.
Processos – implementação e gerenciamento do
processos de segurança da informação, com suas atividades e procedimentos
Norma Complementar nº 02/IN01/DSIC/GSI/PR, de 13 de outubro de 2008.
Define a gestão de SIC baseada no ciclo PDCA [Planejar (Plan) - Fazer (Do) - Controlar (Check) - Agir (Act)].
Alta, a norma define o processo de gerenciamento de SIC na APF. Pessoas – estrutura da instituição. Definição de funções e responsabilidades das diferentes partes envolvidas Norma Complementar nº 03/IN01/DSIC/GSI/PR, de 30 de junho de 2009. No item 5.3.7 Competências e Responsabilidades, a norma define a atribuição de responsabilidades das diferentes partes envolvidas.
Média, uma vez que depende da completude da POSIC elaborada por cada órgão ou entidade da APF.
Tecnologia - link entre GovSI e os ativos físicos de TI que a instituição gerencia (internos e externos) Norma Complementar nº 10/IN01/DSIC/GSI/PR, de 30 de janeiro de 2012.
Estabelece diretrizes para o processo de Inventário e Mapeamento de Ativos da Informação.
A Alta Administração é responsável por aprovar as diretrizes e o processo de inventário e monitoramento de ativos de informação na instituição.
Alta, a norma converge para o previsto no critério.
Segurança
Integração de normas – algumas propostas (dos
frameworks analisados)
referem-se aos controles e melhores práticas incluídas nas normas de segurança.
Norma Complementar nº 02/IN01/DSIC/GSI/PR, de 13 de outubro de 2008.
Define a gestão de SIC baseado no ciclo PDCA [Planejar (Plan) - Fazer (Do) - Controlar (Check) - Agir (Act)]. Os controles fazem parte do processo de gestão. Não foram encontradas normas que contenham orientações
Baixa, uma vez que a norma atende parcialmente ao critério.
sobre “melhores práticas”. Gerenciamento de
segurança da informação – algumas políticas e
procedimentos definidos pela governança podem ser vinculados ao gerenciamento e ao lado operacional da segurança da informação Norma Complementar nº 02/IN01/DSIC/GSI/PR, de 13 de outubro de 2008.
Define a gestão de SIC baseado no ciclo PDCA [Planejar (Plan) - Fazer (Do) - Controlar (Check) - Agir (Act)], sendo as decisões sobre SI levadas à autoridade competente, propiciando a interação da gestão de SI com a governança. Este norma utilizou como referência a norma ABNT NBR ISO/IEC 27001:2013.
Média, a norma prevê a utilização de diretrizes e aprovações pela autoridade decisória, todavia não define em que nível se situa esta autoridade.
Ferramentas e técnicas – normalmente os
frameworks utilizam
ferramentas para faciliar sua implementação, tais como indicadores para medir o grau de conformidade ou modelos de maturidade para possibiliar benchmarking entre instituições Norma Complementar nº 11/IN01/DSIC/GSI/PR, de 30 de janeiro de 2012.
A norma estabelece diretrizes para avaliação de conformidade nos aspectos relativos à Segurança da Informação e Comunicações (SIC) nos órgãos e entidades da Administração Pública Federal, direta e indireta – APF, todavia, não há referência a ferramenta ou modelo de maturidade.
Baixa, considerando que há uma norma que estabelece avaliação de conformidade, porém não especifica ferramentas ou modelos de como deve ser realizada.
Orientações práticas para implementação – as abordagens teóricas podem se diferenciar das práticas, sen que esta envolvam detalhamento as atividades para implementação, incluindo casos de estudo e exemplos práticos Norma Complementar nº 02/IN01/DSIC/GSI/PR, de 13 de outubro de 2008, Norma Complementar nº 04/IN01/DSIC/GSI/PR, de 15 de fevereiro de 2013, Norma Complementar nº 10/IN01/DSIC/GSI/PR, de 30 de janeiro de 2012.
Estas normas detalham procedimentos para sua implantação, como pode ser observado, em cada norma, no item Procedimentos.
Média, considerando que, apesar de poucas normas possuirem procedimentos objetivos para sua implementação, pode ser descrito o rito geral na POSIC.
Adequação ao setor público – impactos nos domínios social, político, cultural e legal das questões de estratégia, processos de negócios, de interação e técnicos, cujos requisitos em termos de sensibilidade do dado, privacidade e confidencialidade são determinantes para a Norma Complementar nº 02/IN01/DSIC/GSI/PR, de 13 de outubro de 2008.
A norma que define a metodologia de gestão de SI tem por premissa para definição do modelo adotado:
a) simplicidade do modelo; b) compatibilidade com a cultura
de gestão de segurança da
Alta, considerando as premissas do modelo de gestão de SI adotadas.
sociedade. informação em uso nas organizações públicas e privadas brasileiras;
c) coerência com as práticas de qualidade e gestão adotadas em órgãos públicos
brasileiros. Fonte: O Autor.
6.3 TERCEIRA ETAPA – AVALIAÇÃO DO ALINHAMENTO DOS ELEMENTOS