Home - Convergência Digital
RSS Acesse as notícias via celular ou PDA Assine gratuitamente as nossas newsletters Quem faz o Convergência Digital Fale conosco Anuncie aqui
Cloud Computing CD TV Carreira Blog Capital Digital


Home - Segurança

Datasus cria "Política de Segurança da Informação" e quer fim da "dependência tecnológica"

:: Luiz Queiroz
:: Convergência Digital :: 18/07/2008

O Departamento de Informática do Sistema Único de Saúde (Datasus), do Ministério da Saúde, anunciou nesta sexta-feira (18/07), um conjunto de normas que visam a proteção dos seus sistemas de informação.

"O ambiente computacional do Ministério da Saúde e suas informações são freqüentemente alvo de ataques indesejáveis de diversas procedências, tornando-se imperioso realizar uma estratégia de Segurança da Informação que trate da avaliação periódica dos riscos de seus ativos e da gestão dos controles de segurança", explicou o Diretor do Datasus; Ernani Bento Bandarra, num conjunto de argumentos que sustentam a justificativa para a adoção das novas medidas.

De todos os órgãos ministériais na área de Informática, o Datasus sempre foi o mais "fechado" à imprensa. Praticamente nunca informou suas ações neste campo nem tampouco tinha admitido, até o momento de forma pública, ser "alvo de ataques" em sua rede.

A decisão do Datasus, entretanto, é decorrente de um Acórdão 461/2004, do Tribunal de Contas da União, que na época cobrou tais medidas de segurança e deu um ano de prazo, já atrasado, de um ano, para que o Datasus implementasse o conjunto dessas novas práticas. São elas:

- A concepção e implementação de uma política de segurança de informações formal e, preferencialmente, baseada nos ditames da norma NBR ISO/IEC 17799;
- A análise regular de arquivos logs com utilização, sempre que possível, de softwares utilitários específicos, para monitoramento do uso dos sistemas;
- A elaboração e implementação de um Plano de Contingências de acordo com o item 11.1.4 da NBR ISO/IEC 17799;
- A classificação do nível de segurança e controle de acesso aos dados, no âmbito do Projeto "Repositório";
- O estabelecimento de mecanismos formais de monitoração, supervisão e controle das atividades terceirizadas; e a preservação do conhecimento do núcleo gerencial do negócio, dando prioridade à alocação de funcionários efetivos na supervisão e gerência de projetos;
- Estudos com vistas à criação de uma gerência específica de segurança, preferencialmente vinculada à direção geral;'

"É necessário, portanto, que o Datasus continue aprimorando a segurança das informações sob a sua custódia, pois, apesar de ter sido constatada a existência de iniciativas isoladas tanto no aspecto da segurança física quanto de acesso lógico, não existem, atualmente, procedimentos formais que implementem uma política de segurança adequada no órgão", destacou na época o relator do processo no TCU, Ministro Marcos Vilaça.

Decisões:

O Diretor Ernani Bandarra, publicou no Diário Oficial da União a Portaria 207, e instituiu a partir de agora no âmbito do Datasus, uma nova "Política de Segurança da Informação e Comunicações" (PSCI), baseadas nas seguintes conceituações:

I - Regulamentação: conjunto de diretrizes, normas e procedimentos que permitam ao DATASUS executar as mais variadas
tarefas de proteção da informação, no que diz respeito à confidencialidade, disponibilidade, integridade e autenticidade da informação.

II - Certificado de Conformidade: garantia formal de que um produto ou serviço, devidamente identificado, está em conformidade com uma norma legal;

III - Segurança da Informação: proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim
como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo,inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento.

Com base nesses princípios, o Datasus tomará uma série de medidas para a implementação da sua Política de Segurança. E duas delas certamente serão fator de preocupações para o mercado privado, pois trata-se de por um fim em eventuais dependências tecnoógicas que o órgão sofre. Após o Governo Fernando Henrique Cardoso, tornou-se comum em diversos ministérios, as áreas de informática serem totalmente terceirizadas, deixando-os vulneráveis quanto à guarada de informações sensíveis de Governo. Da mesma forma, materialmente, essas áreas tornaram-se dependentes de um único fornecedor ou uma única plataforma de sistemas proprietários, que sempre ditaram preços e regras de renovação de contratos. A nova portaria pelo menos visa acabar com esse clima de dependência ao estabelecer as seguintes medidas de Segurança:

a) Dotar o Datasus e os órgãos de administração direta que compõem a estrutura do Ministério da Saúde de instrumentos
normativos e organizacionais que os capacitem científica, tecnológica e administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o não-repúdio e a disponibilidade dos dados e das informações tratadas, classificadas e sensíveis, além de garantir que os mesmos sejam usados no interesse da Administração;

b) Eliminar a dependência externa em relação a sistemas,equipamentos, dispositivos e atividades vinculadas à segurança dos
sistemas de informação;

c) Promover a capacitação de recursos humanos para o desenvolvimento de competência científico-tecnológica em segurança
da informação;

d) Estabelecer normas jurídicas necessárias à efetiva implementação da segurança da informação;

e) Promover as ações necessárias à implementação e manutenção da segurança da informação;

f) Promover o intercâmbio científico-tecnológico entre os órgãos e as entidades da Administração Pública Federal e as instituições públicas e privadas, sobre as atividades de segurança da informação;

g) Promover a capacitação industrial do País com vistas à sua autonomia no desenvolvimento e na fabricação de produtos que
incorporem recursos criptográficos, assim como estimular o setor produtivo a participar competitivamente do mercado de bens e de serviços relacionados com a segurança da informação; e

h) Assegurar a interoperabilidade entre os sistemas de segurança da informação.

"A PSIC/Datasus sofrerá alterações à medida que novas orientações legais e normativas relacionadas à segurança da informação e comunicações forem emanadas do Governo Federal", informa a Portaria 207.
Enviar por e-mail   ...   Imprimir texto
 

:: Leia também:

:: 26/04/2013 13:40
PROTESTE: programas de antivírus deixam computadores desprotegidos

:: 19/04/2013 15:55
Santa Catarina investe R$ 9 bi em programa de segurança pública

:: 09/04/2013 15:32
Brasil contabiliza 48% das máquinas infectadas pelo malware WebShell

:: 01/04/2013 12:10
Fraude interna: inimigo pode estar na mesa ao lado

:: 28/03/2013 13:00
Rio de Janeiro terá Centro para incidentes de segurança cibernética

:: 28/03/2013 11:10
Guerra cibernética usa smartphones e Android

:: 11/03/2013 12:33
Alagoas investe em rede própria de fibra óptica

:: 04/03/2013 10:44
Nível elevado de segurança de TI não atinge a maioria das empresas

:: 25/02/2013 11:23
Violação de dados: gestores de TI confessam erro na estratégia

:: 18/02/2013 15:31
Tecnologia ajuda a evitar imprevistos em grandes eventos


Outras matérias desta seção:

ANTERIOR
Bahia adota monitoramento via câmaras para combater à violência pública

PRÓXIMA
Funcionários de operadoras atuam em quadrilha desbaratada pela PF


Leia a edição nº 4 da revista eletrônica do Convergência Digital

A quarta edição da revista eletrônica do portal Convergência Digital reúne matérias especiais sobre temas que estão na agenda do setor - crimes na Internet; computação na nuvem; carreira e compras públicas. Boa leitura!

Para ler no iPad, clique aqui
Crimes na Web: Brasil lidera ataques de Conficker no mundo
:: 10/05/2013 :: Segurança

O país também teve representação expressiva na disseminação dos ataques a linguagem Java no 1º trimestre. Segundo levantamento, no caso do Conficker, 26% dos ataques registrados no mundo saíram do Brasil.
Banco móvel: tablets e smartphones entram na mira dos cibercriminosos
:: 03/05/2013 :: Segurança

O alvo são os usuários do Android e o ataque começa com o envio de solicitação de instalação de certificação de segurança (SSL) falsa. Objetivo é roubar os códigos de autenticação mTANS (mobile transaction authentication number) e os PINs (personal identification number) das contas bancárias.
PROTESTE: programas de antivírus deixam computadores desprotegidos
:: 26/04/2013 :: Segurança

Associação de Defesa do Consumidor testou 10 programas pagos e três gratuitos. AVG teve o pior desempenho entre os gratuitos. Entre os pagos, McAfee e Norton apresentaram as piores performances nos itens firewall, detecção de malware e proteção de sites.
Mais de 60% das empresas no Brasil foram vítimas de ataques de malware
:: 23/04/2013 :: Segurança

Apesar dos ataques, estudo mostra que, na América Latina, três em quatro corporações não têm um plano efetivo para tratar dos incidentes de segurança da Informação.

Insider: A sua empresa tem um. Cuidado!
:: Por Rogério de Souza

Ele está acima do bem e do mal, tem uma carreira a zelar, mas é, sim, o maior responsável, hoje, pelo vazamento de dados e informações relevantes de uma corporação.
Cobertura em vídeo do Convergência Digital
PF: Avalanche de inquéritos exige Justiça ágil contra o cibercrime
Novas leis nivelam criminosos aos cidadãos e incentivam o cibercrime
Falta estrutura para combate ao cibercrime no Brasil
Computação na nuvem: "Quero saber como o fornecedor me protege dele mesmo"



Convergência Digital no Facebook Convergência Digital no Twitter RSS do Convergência Digital Newsletters do Convergência Digital
Copyright © 2013 Convergência Digital
Todos os direitos reservados.
É proibida a reprodução total ou parcial do conteúdo deste site.