A Política Corporativa de Segurança do Negócio (PCSN) tem o objetivo de orientar na definição e adoção de normas, padrões e procedimentos em todo o Serpro, visando reduzir riscos e assegurar a confidencialidade, a integridade e a disponibilidade das informações, dos sistemas e dos recursos. Com este objetivo, em 1998, foi definida a política de segurança, quando do lançamento da primeira versão do Programa de Segurança do Serpro (PSS). Atualmente o PSS encontra-se em sua versão 4.0, cuja declaração da política pela diretoria foi feita em julho passado. A campanha de divulgação do PSS inicia-se com a divulgação da política, com cartazes afixados pela Empresa. A PCSN se aplica a todos os empregados e contratados do Serpro, devendo ser adotada por todas as suas unidades. O que foi implementado na Empresa para garantir que sistemas, servidores e correio sejam utilizados de maneira segura? A partir da definição (e posterior declaração) da PCSN, foi desenvolvido o Programa de Segurança e as unidades do Serpro são as responsáveis pela segurança em suas áreas de atuação, devendo implementar e administrar o PSS, de forma a proteger de forma adequada as informações, pessoas, e recursos envolvidos, cabendo o controle estratégico desse processo à Unidade Corporativa. Um exemplo da implementação do PSS é a política de segurança de rede, cuja aplicação se efetiva na proteção dos acessos da Internet. Qual o nível de prioridade que o Serpro dá a sua política de segurança? A diretoria tem dado amplo apoio ao assunto segurança. A versão atual do PSS foi fruto de um trabalho de revisão da versão anterior, que contou com o engajamento de pessoas do Comitê de Segurança do Serpro (e apoio de consultoria externa), no sentido de permitir a implantação de forma sistematizada do Programa em todas as unidades da Empresa. Além do apoio direto da diretoria, dos superintendentes e das pessoas que estão fazendo acontecer a segurança no Serpro, existem metas de planejamento estratégico associadas à segurança do negócio. De forma concreta podemos verificar a prioridade citando alguns exemplos de medidas de segurança adotadas ou em fase de implantação: estação segura, alta disponibilidade do firewall, autoridade certificadora digital, grupo de resposta a ataques. Quanto é investido anualmente em soluções, softwares e equipamentos? Este valor é de difícil contabilização, em função principalmente da descentralização das ações de segurança, mas é certo que uma corporação do tamanho do Serpro investe valores razoáveis. A diversidade de necessidades dos clientes e de soluções e ambientes operacionais requer investimento não só de recursos de tecnologia, como também de treinamento e capacitação de pessoas, além da própria integração de todo esse complexo ambiente. Ressalta-se que as soluções de segurança, além de exercerem suas funções próprias para as quais foram desenvolvidas, requerem flexibilidade não só para o acompanhamento da evolução da tecnologia, como também para equilíbrio entre a necessidade de segurança e as regras de negócio. De que forma o fator humano é trabalhado? Há algum tipo de treinamento para que os funcionários contribuam e não deixem "portas" abertas? As pessoas são conhecidas como o elo mais fraco da segurança e por isso mesmo devem ser conscientizadas. Conscientização é a palavra-chave, quando se trata de pessoas e de segurança. Elas precisam saber do que se proteger e como, devendo conhecer também as situações de risco para o negócio. O treinamento também é fundamental para que erros não sejam cometidos durante as atividades. Cabe também ressaltar a importância da responsabilização das pessoas no uso dos recursos e na execução das tarefas. O senhor concorda que a questão comportamental é um dos fatores que deva ser levado em conta na hora de se criar uma política de segurança? A segurança é de fato uma questão de atitude, de comportamento. Soluções, sistemas, recursos e ferramentas relacionadas à segurança não funcionam sozinhos: sempre existe alguém operando alguma coisa. De nada adianta termos um alarme num carro que nunca é ligado, ou para que serve uma senha que é compartilhada? As pessoas fazem a diferença. Segurança não se compra: deve ser conquistada. E este é um valor que deve ser desenvolvido ao longo do tempo, permanentemente. Desde o apoio da alta direção, passando pelas gerências intermediárias até o trabalho executado pelo empregado no final da linha de produção ou o usuário final da informação, todos temos nossa responsabilidade com relação à segurança. Quais são as principais dificuldades que vocês encontram no dia-a-dia do Serpro quando o assunto é segurança? Quais são os seus principais desafios? Destaco dois pontos principais : a segurança é cara, deve estar bem planejada e geralmente só aparece quando há uma falha de segurança; e a diferença de cultura dentro das organizações (ou entre elas) permitem que falhas de segurança possam ocorrer. Pode parecer estranho, mas a Internet tem sido uma ajuda importante para a segurança, uma vez que expôs, de forma clara, diversas ameaças e vulnerabilidades. Atualmente, a maioria das revistas fala de criptografia, assinatura digital, protocolos de segurança. Para os profissionais de segurança, nenhuma novidade, mas em geral, as pessoas passaram a se preocupar mais com o assunto. Os principais desafios estão relacionados à conquista das pessoas para que se preocupem também. |
Quando
foi criada a Política de Segurança do Serpro?
