ANEXO I
Extrato do Questionário Eletrônico para o TCU
ANEXO J
Auditoria do TCU no SIPAM -
Correio Brasiliense dia 23 Fev 2008
ANEXO K
Extrato do RELATÓRIO DO CURSO DE FUNDAMENTOS EM GESTÃO DA SEGURANÇA DA INFORMAÇÃO
1. FINALIDADE
Relatar o impacto que os conhecimentos obtidos no Curso de Fundamentos em Gestão da Segurança da Informação, ministrado sob responsabilidade do GSI/PR, pode provocar na sistemática de gerenciamento das informações do EME, em particular, e do Exército, por extensão, no cumprimento de sua missão institucional. Apresentar contribuição para a melhoria da segurança orgânica do EME no desempenho funcional dos militares encarregados da segurança de seus sistemas informatizados.
2. CONDIÇÕES DE EXECUÇÃO
a. Objetivos do Curso
Fornecer aos profissionais uma visão global e sistemática da governança em TI, discutindo os mais recentes modelos e frameworks como CobiT®, ITIL, PMO, BSC para TI, CMMI, ISO 15.504 e MPS-BR, Gestão de Relacionamentos nas Organizações, Modelagem de Processos, Segurança da Informação, Indicadores de Desempenho (Glossário – An A), possibilitando:
1) Compreender a importância estratégica da governança e do alinhamento com os objetivos da organização;
2) Conhecer as diferentes metodologias e ferramentas que podem ser implementadas na área de TI;
3) Entender os indicadores de desempenho, as métricas e os riscos;
4) Entender como garantir a continuidade dos negócios pelo gerenciamento de serviços de TI, de projetos e de processos de software; e
5) Desvendar as competências conversacionais1 embutidas na natureza dos processos de gestão dos relacionamentos nas organizações.
b. Local
Sala no 8º andar do MPOG no setor de Autarquias, onde funciona uma seção de cursos da Escola de Administração Fazendária (ESAF).
c. Período
29 Out a 30 Nov 07.
d. Pessoal Participante
a) Coordenadores: Cel R1 Reinaldo SS e Sr José GS, do DSIC/SE.2 Analista de sistemas/2000 e participou de treinamento em 2005 (Fundamentos Técnicos de SI), representou o EME na Oficina de SI/GSI em 2006 e produziu memória para o Gab Cmt (CREDN/2005).
d. Atividades Executadas
2) 30 Out a 29 Nov 07: cumprido o cronograma do curso com 80 horas-aula.
3) 30 Nov 07: conclusão formal do curso e diplomação presidida pelo Sr Mandarino.
3. ASPECTOS RELEVANTES
1) Organização do curso:
Contrato do GSI/PR com a ESAF que convocou especialistas da própria APF, SERPRO e Banco do Brasil para ministrarem aulas, no regime de meio- expediente, 04 (quatro) horas/dia, em vinte dias úteis, coordenados pelo DSIC.
2) Método didático e meios auxiliares:
3) Material distribuído:
Apostilas encadernadas em volumes por matéria e arquivos eletrônicos disponíveis em site do Yahoo Groups.
4) Metodologia de avaliação:
Pergunta-resposta por ocasião do final das aulas e trabalho em grupo sobre CTIR, analisado por experts em Segurança da Informação (SI).
5) Listagem de todas as disciplinas ministradas no curso:
Tratamento da Informação (12h); Gestão e Análise de Risco (16h); Plano de Continuidade de Negócios (12h); Ética e Direito na Sociedade da Info (12h); Auditoria Interna (8h); Segurança em Redes e Instalação de CTIR (16h); e Apresentação dos Trabalhos (4h).
6) Disciplinas que demandaram maior esforço:
Auditoria (o papel da TI na organização), gestão de riscos (conhecimento da ISO/IEC 17.799), e direito (identificar os crimes funcionais e conhecer a legislação para imputar responsabilidade civil, administrativa e penal aos funcionários dos órgãos da APF).
7) Avaliação do corpo docente:
Todos excelentes instrutores e de grande experiência em sua especialidade, na área de SI.
8) Principais observações e ensinamentos referentes à validade do curso realizado:
Todos os trabalhos realizados durante o curso, dinâmicas em grupo, estudo de caso e prática em laboratório, possuíam relacionamento com temas de interesse do EB, particularmente, de interesse do DCT/CITEx, pelo conhecimento técnico exigido. Houve pertinência no conteúdo do curso às necessidades do EME, bem como a metodologia de ensino utilizada, devendo ser repetido e até aprofundado em 2008, com a participação do Chefe da SG/2.
Verificou-se que há intenção de manter os especialistas de TI atualizados, seja pela participação em cursos e estágios, ou em debates e fóruns oferecidos pelo GSI para os órgãos da APF, como o Fórum 30 Anos de TI no TCU, em 04 e 05 Dez 07 (Folder - An B), para o qual não se recebeu convite formal, mas seria possível a adesão pela Internet.
9) Principais observações e ensinamentos em outras áreas:
A matéria ministrada neste curso por Marcelo Benergui, assistente de TI do TCU, apresentou “estudo de caso” de auditoria de TI (Sumário Executivo de auditoria no Infoseg - An C) em órgão da Administração Pública Federal (APF) realizado em 2005, no qual se evidenciou a falta de segurança da informação, dentre outros problemas, nas rotinas do sistema Infoseg/SENASP, quando os indicadores foram comparados aos padrões internacionais de qualidade, usados pelo TCU.
Ainda que nas instituições da APF não se empreguem os citados padrões, para avaliação dos seus planejamentos estratégicos, ficou clara a possibilidade desse tipo de investigação poder ocorrer nos demais órgãos da APF.
Associado a isso, o TCU recolheu respostas de um questionário eletrônico (Questionário de TI - An D) sobre os meios tecnológicos do Exército, em Jul 2007, indicando que estas informações poderiam ser cruzadas com outros dados da Força, disponíveis na rede mundial, como a “Transparência Pública”, e possibilitar a elaboração de relatório de auditoria que viesse a denegrir a imagem da Força.
b. Documentação de referência
– Of n° xxx, de 11 Out 07, do GSI/PR e
– Encam nº xxx, de 18 Out 07, do Gab Cmt.
ANEXO L
Extrato do Relatório do I Seminário de Seguridad Industrial Brasil-Espanha
1. REPRESENTANTE:
2. PREPARAÇÃO:
3. EXPERIÊNCIAS ADQUIRIDAS
O Centro Nacional de Inteligência (CNI) vem desenvolvendo a cultura de inteligência na Espanha, como suporte ao eficaz funcionamento da Comunidade de Inteligência espanhola. (https://www.cni.es/05/05_index.cfm). O Centro Criptológico Nacional é coordenado pelo CNI e, por sua vez, coordena a ação dos órgãos da Administração que utilizem meios e procedimentos de cifração e de garantir a segurança das tecnologias da informação e comunicações (TIC). (https://www.cni.es/10/10_index.cfm).A ANS inspeciona as instalações que trabalham com Informações Classificadas (padrão OTAN), inclusive as Forças Armadas, segundo a metodologia da proteção do conhecimento. Estas inspeções são realizadas pelos diversos níveis de acesso às informações, no MD e nas FA, conforme a necessidade funcional de conhecer, por autoridade de segurança da informação creditada pela ANS. Daí a imperiosa padronização das exigências na implantação deste organismo. Ter uma indústria brasileira certificada e com credenciamento de segurança controlado por ANS permite a negociação de material ou informação considerada classificada, com os países de interesse comercial comum. A gestão de risco é realizada com o auxílio da ferramenta PILAR (Procedimiento Informático y Lógico de Análisis de Riesgos), que avalia o estado de segurança de um sistema e de seus ativos.
Verificou-se que um documento pode receber classificação sigilosa diferente da classificação de seus anexos, flexibilidade essa que não é contemplada na legislação do EB. O Exército atualizou o seu sistema de credenciamento fazendo publicar as Normas para o Credenciamento de Segurança (Port n° 016, de 18 Jan 06).
O oficial de COMSEC (Segurança das comunicações) é o responsável pela segurança das cifras e o oficial de INFOSEC (Segurança da informática) pelos controles dos hardware, software e instalações. Elaboram juntos o Plano de Emergência e as Normas de Destruição do Material cifrado tratando, sempre, pessoalmente do recebimento, manipulação e destruição das chaves. As cifras criptográficas são geradas na ANS por meio do sistema PKI de Certificação Digital.
O Programa Galileo foi apresentado como aperfeiçoamento do GPS norte-americano.
O Centro de Avaliação de Segurança de Tecnologia da Informação (CESTI) funciona no Instituto Nacional de Técnica Aeroespacial (INTA), órgão semelhante ao CTA no Brasil. Observou-se testes de equipamento de GE, VANT e irradiação Tempest.
4. CONCLUSÃO
O SISC deverá impactar as atividades do DCT, além dos órgãos do SIEx. A maneira mais adequada de avaliar o impacto do SISC sobre o Sistema de Informação do Exército é acompanhar cerradamente os trabalhos do Comitê Gestor da Segurança da Informação (CGSI) por meio do oficial de ligação junto ao MD. Existe proposta no GSI/PR de um decreto presidencial instituindo a ANS e o SISC da Administração Pública Federal e outro criando a Política de Segurança da Informação e Comunicações da Administração Pública Federal, revogando, ainda o Dec n° 3.505, de 13 Jun 2000. Atingir padrões internacionais de segurança vai favorecer operações interaliadas com os países-membros da OTAN e ONU.
Nenhum comentário:
Postar um comentário