A preocupação com a segurança das informações da Secretaria da Receita Federal tem origem nos primeiros sistemas informatizados, há mais de 30 anos. Segundo Roberto Plá, da Superintendência de Administração Tributária do Serpro - SUNAT, todos os sistemas desenvolvidos pela empresa para a SRF embutem mecanismos de segurança que visam garantir a confidencialidade, integridade e disponibilidade da informação.

Como os problemas de segurança tornam-se cada dia mais complexos, exigem mais cuidados no desenvolvimento e manutenção dos serviços informatizados da SRF. De acordo com Luciano Pietracci, Gerente do Departamento de Segurança e Engenharia de Sistemas da SUNAT, a SRF investe em segurança algo em torno de 10% de seu orçamento anual destinado a contratação de serviços de informática.

Nos últimos anos, tanto a SRF como o Serpro têm considerado a segurança um item fundamental para a continuidade dos seus serviços para a sociedade. Com este objetivo, foram definidas leis, portarias e normas que abrangem os diversos atores e componentes da Tecnologia da Informação: pessoas (empregados, clientes, fornecedores e prestadores de serviço), meios de comunicação (redes, fitas, cd-rom, correios eletrônicos, malotes), computação pessoal (segurança das estações de trabalho), os sistemas de informação e os serviços de informática, abordando os aspectos de segurança lógica e física.

Mais recentemente, a SRF e o Serpro adotaram as novas metodologias de gerenciamento de riscos que são aderentes aos preceitos das normas internacionais (ISO-17799-1 Gestão de Segurança da Informação) que consistem basicamente em tratar a informação como um patrimônio, que deve ser protegido como qualquer outro ativo, de acordo com a classificação prévia de seu grau de confidencialidade e privacidade. O método consiste em avaliar os riscos que possam comprometer a confidencialidade, integridade e disponibilidade dos serviços e das informações, identificando as ameaças, verificando as vulnerabilidades e avaliando os impactos. Neste contexto, foram criadas estruturas formais para o gerenciamento da Segurança.

O Grupo de Resposta a Ataques - GRA, totalmente direcionado para tratar da segurança dos serviços Internet da SRF (tanto aqueles da Web, como aqueles de entrega de declarações) é uma das novidades. O objetivo do grupo é monitorar continuamente os acessos dos usuários externos, identificando tentativas de intrusões. Um conjunto de procedimentos, em consonância com a SRF, é adotado para evitar o sucesso desses ataques.

Para completar todo o esquema de segurança, a SRF e o Serpro contam com especialistas nos diversos segmentos de segurança dos serviços e das informações - especialistas em Rede, Firewall, certificação digital, segurança de sistemas operacionais - e com a consultoria de conceituadas instituições de avaliação de riscos como a Módulo e-Security e o Centro de Estudos Avançados do Recife - CESAR, da Universidade de Pernambuco. "Entretanto, entendemos que segurança não é apenas uma questão de

tecnologia, mas envolve a conscientização de todos os funcionários da Organização e, principalmente, o permanente gerenciamento e avaliação dos riscos", finaliza Plá.