TRABALHO DE CONCLUS£’O DE CURSO ARTIGO CIENT£†FICO Pereira - Carla Giovanna - Ivan... TRABALHO DE CONCLUS£’O

  • View
    1

  • Download
    0

Embed Size (px)

Text of TRABALHO DE CONCLUS£’O DE CURSO ARTIGO CIENT£†FICO Pereira - Carla Giovanna...

  • TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO

    1

    Os desafios da Governança de Tecnologia da Informação na Administração Pública

    Federal: um enfoque na segurança da informação e nas pessoas

    Alexandre Pereira da Rocha – djalexrocha@gmail.com – UFF/ICHS

    Carla Giovanna Costa de Castro – carlagcastro@gmail.com – UFF/ICHS

    Ivan Monteiro da Silva Júnior – imsjunior@hotmail.com – UFF/ICHS

    Resumo

    O objetivo deste artigo é investigar o processo de desenvolvimento da Governança de

    Tecnologia da Informação na Administração Pública Federal, com foco na segurança da

    informação e no risco do comportamento humano no vazamento de informações relevantes para

    o Estado e para a sociedade. O método utilizado para o estudo foi uma pesquisa documental

    aplicada na análise dos Levantamentos do Tribunal de Contas da União (TCU) dos anos de

    2007, 2010, 2012 e 2014, avaliando o grau de maturidade da segurança da informação nas

    instituições públicas federais. Como resultado, verificou-se que apesar da evolução dos índices

    na área de segurança da informação, constantes nos relatórios resultantes dos Levantamentos

    do TCU, a situação está longe do ideal. Concluímos que para uma visão mais ampla do

    processo, o TCU deveria avaliar ações mais específicas relativas à influência do risco humano

    para segurança da informação na Administração Pública Federal, engajando todos os

    envolvidos no uso da informação, com foco no usuário final dos sistemas informatizados.

    Palavras-chave: Administração Pública, Segurança da Informação, Comportamento humano

    1 – Introdução

    Na concepção de Albertin e Pinochet (2010, p.1), “... a informação é de extrema

    importância para a organização e para seus negócios, assim como para seus concorrentes ...”.

    As organizações, sejam elas públicas ou privadas, compreendem que com os avanços

    tecnológicos a informação tornou-se primordial no seu processo decisório. Na Administração

    Pública Federal (APF) o reflexo dessa constatação está na preocupação constante com

    pesquisas, a exemplo da Pesquisa Nacional por Amostra de Domicílio (PNAD) e do Censo,

    ambos gerenciados pelo Instituto Brasileiro de Geografia e Estatística (IBGE), que reúnem

    informações a partir do diagnóstico populacional com o fim de definição de políticas públicas.

    Assim, as informações precisam ser adquiridas, tratadas e compiladas por meio de um sistema

    de informação confiável e que possibilite uma visão global das organizações, usualmente

    inseridas em um sistema aberto de administração, permitindo aos gestores ter assertividade nas

    suas decisões, subsidiando as mudanças necessárias, bem como, a inovação em seus processos.

    Portanto, a tomada de decisão no mundo corporativo e governamental se subsidia num

    sistema de informação sinérgico, onde todos os setores e instâncias da organização convergem

    para a estratégia organizacional. Nas palavras Albertin e Pinochet (2010, p.2), “o exercício do

    poder e a tomada de decisão envolvem as dimensões técnica, administrativa e política”. Assim,

    faz-se necessário investimento em Tecnologia da Informação (TI) com mudança de foco por

    parte da alta administração, entendendo a TI como um diferencial competitivo.

    A TI vem evoluindo e transformando a sociedade através do seu uso. Para Cepik e

    Canabarro (2014, p. 16): “... a TI é a ferramenta fundamental para a transformação da

  • TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO

    2

    administração pública, deixando de ser objeto apenas de gestão para ser objeto de governança”.

    Enquanto a gestão de TI está focada no presente e na eficiência das questões internas, a

    governança de TI abrange, de forma ampla, as demandas e objetivos presentes e futuros da

    administração pública.

    A ISO/IEC 17799 (ABNT, 2005) une as duas vertentes apresentadas até aqui: a

    essencialidade da informação para as organizações com foco na segurança da informação.

    Segundo a Norma,

    A segurança da informação é importante para os negócios, tanto do setor público como

    do setor privado, e para proteger as infra-estruturas críticas. Em ambos os setores, a

    função da segurança da informação é viabilizar os negócios como o governo

    eletrônico (e-gov) ou o comércio eletrônico (e-business), e evitar ou reduzir os riscos

    relevantes. A interconexão de redes públicas e privadas e o compartilhamento de

    recursos de informação aumentam a dificuldade de se controlar o acesso. A tendência

    da computação distribuída reduz a eficácia da implementação de um controle de

    acesso centralizado. (ABNT, 2005, p.X).

    Reafirmando os fatores críticos de sucesso da segurança de informação para o negócio

    das instituições, Ferreira (2003 apud ALBERTIN; PINOCHET, 2010) destaca que é necessário:

    “[...] entender o contexto atual da segurança da informação no ambiente corporativo, ou seja, o

    ambiente comum às empresas, composto por três aspectos básicos: pessoas, processos e

    tecnologia”, sendo as pessoas o foco do nosso estudo.

    A visão que todos temos é de que a segurança da informação se restringe ao ambiente

    computacional, no entanto essa visão é real em parte. Albertin e Pinochet (2010, p. 81),

    asseguram que “[...] a segurança é um conceito que vai muito além disso. É expectativa de todos

    que a informação armazenada em um sistema computacional permaneça lá, sem que as pessoas

    não autorizadas tenham acesso ao conteúdo”. Mas não é isso que ocorre na prática.

    É público e notório que o vazamento de informações confidenciais de um Estado ou de

    cidadãos, pode acarretar graves consequências nas relações internacionais. Vide o emblemático

    caso do ex-administrador de sistemas da Agência Central de Inteligência dos Estados Unidos

    (CIA), Edward Joseph Snowden, que divulgou na rede mundial de computadores dados dos

    programas de vigilância global da Agência Nacional de Segurança dos Estados Unidos (NSA),

    causando desestabilização na relação entre os Estados Unidos com os demais países

    monitorados pelo sistema, inclusive o Brasil, conforme ampla divulgação nos meios de

    comunicação nacionais e internacionais à época dos vazamentos, ano de 2013.

    Dentro dessa lógica aplicada entre informação e segurança, Albertin e Pinochet (2010,

    p. 83) concluem, “A definição de segurança da informação pode ser analisada como uma fonte

    de poder, pois, no mundo moderno, quem possui informação, possui poder”. Daí surge a

    conexão apresentada pelos autores de que o investimento em tecnologia, antes visto como um

    diferencial competitivo, hoje se volta para a tecnologia da informação que além de ser um

    diferencial competitivo é ainda importante no processo decisório e sobrevivência das

    organizações.

    Aliado a esse conceito, a segurança da informação surge como ponto preponderante para

    as organizações prescindindo de uma política de segurança da informação eficaz. Na visão de

    Albertin e Pinochet (2010, p. 84), “Uma política de segurança da informação possui diretrizes,

  • TRABALHO DE CONCLUSÃO DE CURSO – ARTIGO CIENTÍFICO

    3

    a fim de determinar a estrutura da segurança da informação e a orientação necessária ao

    desenvolvimento do trabalho”.

    Para os mesmos autores, a política de segurança da informação requer:

    “O conhecimento das regras de acesso, bem como a responsabilidade sobre a

    manipulação, devem ser permanentemente atualizados e conhecidos pelos usuários,

    assim como a existência de regras e de contratos definindo estas, para o cumprimento

    dos requisitos da política de segurança, tanto para o quadro funcional interno, como

    para os prestadores de serviço” (ALBERTIN; PINHOCHET, 2010, p. 85).

    Vislumbrando o cenário apresentado até aqui, a bibliografia demonstra que os avanços

    tecnológicos e a globalização inferem a segurança como fator competitivo das organizações

    sendo segurança fator de confiança, ou seja, credibilidade de imagem das organizações.

    No entanto, essa relação de confiança se estende aos funcionários que utilizam os

    sistemas informatizados e tem acesso às informações da organização. A partir desses conceitos

    é que consideramos a relevância da informação e como a Governança de TI administra e

    controla tais informações. Em consonância com o entendimento de Albertin e Pinochet (2010,

    p.109), de que “apesar de os controles de segurança tecnológica serem eficientes no combate a

    vários tipos de riscos na conexão à Internet, o elemento humano é sempre um componente de

    suprema importância na solução de questões de segurança”.

    Trazendo essa questão para o ambiente governamental, observamos que para que o

    Estado tenha garantida a segurança e o sigilo de seus dados, para a contínua prestação de

    serviços públicos, e para que tenha credibil