A
organização escolhida foi o Tribunal de Contas da União na implantação do
sistema gestão de segurança da informação (ISO 27001). O Tribunal é uma das
entidades fiscalizadoras superiores de mais respeito no julgamento de contas.
Implantar os princípios da ISO 27001 foi uma das estratégias para que a
instituição garantisse que sua segurança da informação alcance um lugar
relevante no desenvolvimento de suas ações.
O
Tribunal dividiu em etapas para o atingimento desse objetivo: organização da
segurança da informação, política de segurança da informação, sistemas de
gestão de segurança da informação, classificação da informação, gestão de
incidentes de segurança da informação, gestão de risco de segurança da
informação e conscientização.
Na
organização da segurança da informação foram criados setores específicos e com
suas responsabilidades bem definidas como Assessoria de Segurança da
Informação e Governança de TI, o Comitê de Segurança da Informação e o
Serviço de Segurança da Informação em TI. Na política de segurança da
informação foi feita uma mudança de foco, saindo da abordagem excessiva de
tecnologia e dando valor a relação processos/pessoas/tecnologia.
Na
etapa sistema de gestão de segurança da informação, foi adota a política
corporativa de segurança da informação que adota as diretrizes para as etapas:
classificação da informação (adoção de controles e adaptação a Lei de Acesso da
Informação), gestão de incidentes de segurança da informação (adoção de medidas
para o registro e tratamento de incidentes), gestão de risco de segurança da
informação (desenvolvimentos de ferramentas de apoio e elaboração de normas
para gestão de incidentes).
A
etapa de Conscientização foi fundamental para o TCU alcançar todos objetivos
das etapas anteriores através do envolvimento das pessoas que compõe o
tribunal. Nesta etapa final várias medidas foram executadas para que os
servidores e demais agentes do Tribunal colaborassem com a implantação dos
princípios da ISO 27001. Para isso foram utilizados recursos como distribuição
de jornais internos, uso de colunas semanais sobre temas sobre os princípios
adotados, quiz de segurança, treinamento, cartilhas, folders e criação de bloco
no site do TCU sobre sistemas de informação.
Algumas dificuldades durante esse processo foram: diminuir o foco excessivo da tecnologia e envolveras pessoas e os processos do Tribunal, manter uma periodicidade para revisão da política de segurança, implantar uma mudança de cultura, ausência de normas, problemas na comunicação dentre outros.
fonte: https://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?fileId=8A8182A24F0A728E014F0B3A11817D54
(texto produzido para um trabalho na pós-graduação em Segurança da Informação)
