TRT/SC implanta Política de Segurança de Informação

O Tribunal Regional do Trabalho de Santa Catarina começa a implementar, a partir desta semana, sua política de segurança da informação, com a entrada em vigor da Portaria Presi 738/2007. No papel, trata-se de um conjunto de normas que buscam proteger a informação que circula no âmbito da Justiça do Trabalho de Santa Catarina, garantindo sua disponibilidade, integridade e confidencialidade específica. Na prática, é a formalização de uma série de orientações e cuidados expedidos pela Secretaria de Informática (Seinfo) para os servidores ao longo dos anos – como manter senhas em sigilo e evitar baixar arquivos da internet, por exemplo.

Segurança da Informação é um dos grupos de trabalho que compõem o projeto do Sistema Integrado de Gestão da Informação, instituído pelo Conselho Superior da Justiça do Trabalho (CSJT) em 2005. Mas foi no ano passado que o grupo começou a trabalhar para valer, com a formação pelo CJST de gestores de segurança da informação para cada tribunal. Neste ano, o processo teve continuidade com a compra da ferramenta de análise de risco e a contratação de consultoria para a primeira avaliação.

Também começam a vigorar, como anexos das portarias, duas normas de segurança da informação: uma regulando o uso do correio eletrônico e outra o da internet. Na esteira delas, a Comissão de Informática pretende elaborar outras normas sobre o assunto – como a de backup, ou seja, a que trata de cópias de segurança, por exemplo. “É interessante termos essas políticas enraizadas no Tribunal por conta da nova realidade trazida pela Lei do Processo Virtual (nº 11.419). Com a assimilação desse conjunto de providências, estaremos melhor preparados como organização para a chegada dessa nova fronteira”, ressalta o diretor do Serviço de Desenvolvimento de Sistemas (Sedes) da Secretaria de Informática, George Alexandre Silva, um dos responsáveis pela implementação da política de segurança da informação.

Aumento da responsabilidade dos gestores

A Presidência do TRT e a Comissão de Informática não querem que os servidores recebam essas normas como uma forma de censura. Mesmo porque, uma análise detalhada do documento revela que os servidores não terão um aumento da limitação de acesso à internet, pois muitas restrições que já existiam antes em portarias específicas (Portarias GP 515/98, GP 122/99 e PRESI 1.303/03) estão sendo apenas ratificadas, como o acesso a sites de conteúdo considerado ofensivo ou incompatível com as atividades funcionais, por exemplo.

“Sabemos que o conjunto de regras que envolvem a segurança da informação parece ser um mal necessário, mas queremos mostrar aos servidores que esta política e suas normas trazem muito mais benefícios aos servidores do que novas restrições”, diz George.

Entre os benefícios, está a questão da transparência. Os servidores, agora, podem ficar tranqüilos quando estiverem acessando, por exemplo, um portal de notícias. Se antes pairava alguma dúvida sobre isso ser proibido ou não, tal interrogação foi dissipada com a política de segurança da informação. O item 3.3 da norma que trata do acesso à internet afirma, textualmente, que “não constitui utilização indevida o acesso a sítios que possam ser úteis ao desenvolvimento das atividades funcionais dos usuários, ou outros, desde que não se enquadrem nas categorias de uso indevido”. Assim, fica liberado, por exemplo, o acesso a sítios bancários, sítios de jornais e revistas e sítios de pesquisa e busca”. Por outro lado, o acesso ao correio eletrônico deixa de ser facultativo e torna-se obrigatório: pelo menos duas vezes ao dia, os servidores devem verificar suas caixas pessoais fornecidas pelo TRT. Mais do que uma obrigação, a medida objetiva manter os servidores diariamente informados sobre o que acontece na Instituição.

Uma outra constatação é a de que a responsabilidade dos gestores (juízes, diretores e assessores) vai aumentar. Eles deverão monitorar, por meio de relatórios, os acessos realizados a partir de suas unidades. Caso algum usuário descumpra as normas de segurança poderá ter o acesso bloqueado.

Riscos e ameaças

Para traçar a política de segurança de informação do TRT/SC, a Comissão de Informática baseou-se em normas técnicas de segurança da informação (BS7799 - ABNT NBR ISO/IEC 17799), em modelos do CSJT e num relatório de análise de riscos que mapeou os principais pontos vulneráveis no que se refere à segurança da informação no TRT. Gerado por um software com certificação internacional e utilizado em larga escala nos setores público, bancário e industrial, o software utilizou como fonte de dados básica as respostas dos questionários aplicados pela Seinfo em diversos grupos de servidores e juízes, nos meses de julho e agosto.

Os resultados indicaram que os maiores níveis de risco (80, numa escala de 1 a 125) foram associados a situações bastante presentes na rotina de trabalho dos servidores. Uma delas diz respeito a algo que, muitas vezes, é utilizado para agilizar o andamento do serviço: o compartilhamento de senhas. O relatório, nesse caso, recomenda que “o compartilhamento de contas e de outros recursos de autenticação deve ser evitado pelos usuários”.

Mas qual seria o problema em “pegar a senha emprestada” do colega? O diretor do Sedes explica que, no caso de alguma falha do sistema, o compartilhamento pode comprometer o rastreamento das ações executadas. “Não é uma questão de se ‘achar um culpado’, mas de melhorar a possibilidade de se corrigir um problema. Quando a senha é ‘emprestada’, fica mais difícil de se encontrar a origem e, portanto, a solução de um problema”, diz George.

O relatório apontou, também, que a ausência de controles de segurança como o mencionado acima expõe a instituição a uma série de ameaças. E quando se pensa em ameaça, logo vem à cabeça vírus, trojans – arquivos executáveis que, instalados no computador, podem coletar informações confidenciais do computador do usuário - e todo aquele arsenal virtual capaz de comprometer o funcionamento dos computadores. Não no caso do TRT/SC. Na hierarquia das ameaças, as pragas virtuais ocupam apenas a nona colocação. De acordo com a Seinfo, isso ocorre porque o TRT catarinense se preocupou, ao longo dos anos, em aperfeiçoar os controles tecnológicos para evitar a ação de vírus e trojans. Ou seja, em relação a agentes externos, o Tribunal parece estar protegido.

“O maior risco com a segurança da informação está dentro da própria Instituição”, diz o diretor da Seinfo, Sandro Beltrame. A afirmação de Sandro tem relação direta com os quatro grupos de ameaças, detectados pelo relatório de análise de riscos, aos quais o TRT/SC estaria mais vulnerável: multas, indenizações e sanções legais; fraudes e sabotagem; repúdio à informação, que consiste na dificuldade de se identificar a origem do problema em razão do usuário querer isentar-se de responsabilidade; e sanções administrativas.

O que chamou a atenção dos coordenadores do programa é que essas ameaças estão relacionadas a ações de pessoas, e não a problemas de equipamento. “Para se ter uma idéia, as falhas de software, associadas à tecnologia, ficaram na quinta posição na lista de ameaças”, ilustra George. Por isso, se o TRT/SC investiu durante muito tempo em controles tecnológicos para garantir a segurança da informação, chegou o momento de conscientizar as pessoas sobre a importância do assunto. “O que nós queremos é formalizar o bom senso que os servidores possuem sobre segurança da informação, transformar esse talento numa política da Instituição”, sintetiza o chefe do setor de redes da Seinfo, Anderson Bastos.

Leia a Portaria 738/07 e as normas de segurança que tratam da utilização da internet e do correio eletrônico.

Fonte: Ascom - 24.09.07, às 18:40min