O polêmico dossiê anti-FHC da Casa Civil

O depoimento da ministra da Casa Civil Dilma Rousseff sobre o provável vazamento do suposto dossiê com informações dos gastos sigilosos do ex-presidente Fernando Henrique Cardoso, da ex-primeira-dama Ruth Cardoso e de ex-ministros tucanos é, sem dúvida, um excelente case de gestão de Segurança da Informação.

A ministra Dilma Rousseff afirma que quer descobrir como ocorreu este vazamento e quem o fez. Ela não descarta nenhuma possibilidade, mencionando suposições como “vazamento provocado intencionalmente por pessoas que tem acesso ao banco de dados”, “roubo de informação por invasão externa”; inclusive utiliza muito a expressão"espião de crachá". Ela também ressalta que grande parte dos dados divulgados são públicos. Informações sobre contas de ministros não são sigilosas e não tem sentido pertencerem a um dossiê. Mas concorda que os gastos do ex-presidente FHC e da ex-primeira dama deveriam ser sigilosos.

Se o vazamento ocorreu por invasão externa, pode-se concluir que a Casa Civil não possui sistemas de segurança adequados. Existe um controle nos sistemas que restringe o acesso a um grupo limitado de pessoas? Como é feito esse controle? Por senhas? Quem vai realizar e auditar esta investigação? O ITI (Instituto de Tecnologia da Informação, ligado à Casa Civil) ou a Polícia Federal?

“Esta situação real que está acontecendo com o Governo também ocorre no ambiente corporativo. Não existe um produto único ou tecnologia específica que resolva esta questão. O que toda empresa deve fazer é implantar um Sistema de Gestão da Segurança da Informação (SGSI). Com alguns pontos em comum com um Sistema da Qualidade, o SGSI é um conjunto de controles planejados, implementados, monitorados e analisados com o objetivo de aumentar o nível de maturidade de segurança da informação empresarial” – afirma Ricardo Kiyoshi, diretor da Batori, empresa especializada em segurança da informação.

Hoje existem duas normas internacionais que padronizam um SGSI: a ISO/IEC 27002, que disciplina as boas práticas de segurança da informação para organizações, e a ISO/IEC 27001, uma norma de certificação do próprio SGSI.

É possível citar alguns controles da ISO/IEC 27001 que ajudariam a Casa Civil a evitar essa atual situação constrangedora: os controles 11.1.1, que administra uma política de controle de acesso; 11.2.2, que versa sobre o gerenciamento de privilégios; 10.10.2, que disciplina o monitoramento do uso do sistema e, finalmente, o controle 10.10.3, que visa a proteção das informações dos registros (log).

“A partir de agora, a primeira ação que a Casa Civil deve tomar para a implantação de um Sistema de Gestão da Segurança da Informação é proceder à realização de uma análise de risco. A análise de risco vai identificar os ativos de segurança da informação, classificá-los, identificar as ameaças em potencial, todas as vulnerabilidades existentes e – o mais importante – vai classificar e dimensionar cada risco existente. O mapa de risco gerado pela análise de risco vai mostrar quais são as ações prioritárias dentre todas as necessárias. Este deve ser sempre o primeiro passo para a definição de controles de segurança da informação” – finaliza Ricardo Kiyoshi.

Perfil da Batori - A Batori é uma empresa que presta serviços de inteligência em segurança da informação e difunde a cultura de segurança, contribuindo para a excelência nos negócios das corporações.

A vasta experiência da Batori, aliada a uma equipe de profissionais de grande expertise, proporciona às empresas-clientes a obtenção de ambientes e de processos mais seguros e confiáveis, visando proteger suas informações, manter a continuidade das operações e viabilizar novas oportunidades de negócios. | www.batori.com.br, | Tel.: (11) 5070-8585 - São Paulo/SP | Contato: Ricardo Kiyoshi – [email protected]