O depoimento da ministra da Casa Civil Dilma Rousseff sobre o provável vazamento do suposto dossiê com informações dos gastos sigilosos do ex-presidente Fernando Henrique Cardoso, da ex-primeira-dama Ruth Cardoso e de ex-ministros tucanos é, sem dúvida, um excelente case de gestão de Segurança da Informação.
Não vou entrar em detalhes políticos, mas a ministra Dilma Rousseff afirma que quer descobrir como ocorreu este vazamento e quem o fez. Ela não descarta nenhuma possibilidade, mencionando suposições como ?vazamento provocado intencionalmente por pessoas que tem acesso ao banco de dados?, ?roubo de informação por invasão externa?; inclusive utiliza muito a expressão"espião de crachá". Ela também ressalta que grande parte dos dados divulgados são públicos. Informações sobre contas de ministros não são sigilosas e não tem sentido pertencerem a um dossiê. Mas concorda que os gastos do ex-presidente FHC e da ex-primeira dama deveriam ser sigilosos.
Nos depoimentos da ministra alguns detalhes me chamam a atenção. Se o vazamento ocorreu por invasão externa, pode-se concluir que a Casa Civil não possui sistemas de segurança adequados. Por acaso existe um controle nos sistemas que restringe o acesso a um grupo limitado de pessoas? Como é feito esse controle? Por senhas? Quem vai realizar e auditar esta investigação? O ITI (Instituto de Tecnologia da Informação, ligado à Casa Civil) ou a Polícia Federal?
Citei alguns pontos deste caso e do depoimento da ministra Dilma Rousseff para fazer um exercício de trazer esta situação real que está ocorrendo com o Governo para o nosso ambiente corporativo. Na sua empresa, departamento ou sistema onde você é responsável ou mesmo custodiante da informação, existe algum risco de você passar por essa situação? É um risco pequeno ou grande?
Lógico que esta situação real que está acontecendo na Casa Civil também ocorre no ambiente corporativo. Não existe um produto único ou tecnologia específica que resolva esta questão. O que toda empresa deve fazer é implantar um Sistema de Gestão da Segurança da Informação (SGSI). Com alguns pontos em comum com um Sistema da Qualidade, o SGSI é um conjunto de controles planejados, implementados, monitorados e analisados com o objetivo de aumentar o nível de maturidade de segurança da informação empresarial.
Hoje existem duas normas internacionais que padronizam um SGSI: a ISO/IEC 27002, que disciplina as boas práticas de segurança da informação para organizações, e a ISO/IEC 27001, uma norma de certificação do próprio SGSI.
É possível citar alguns controles da ISO/IEC 27001 que ajudariam a Casa Civil a evitar essa atual situação constrangedora: o controle 11.1.1, que administra uma política de controle de acesso; 11.2.2, que versa sobre o gerenciamento de privilégios; 10.10.2, que disciplina o monitoramento do uso do sistema e, finalmente, o controle 10.10.3, que visa a proteção das informações dos registros (log).
A primeira ação que a Casa Civil deveria ter tomado para a implantação de um Sistema de Gestão da Segurança da Informação seria proceder à realização de uma análise de risco. A análise de risco identifica os ativos de segurança da informação, classifica-os, identifica as ameaças em potencial, todas as vulnerabilidades existentes e ? o mais importante ? consegue classificar e dimensionar cada risco existente. O mapa de risco gerado pela análise de risco vai mostrar quais são as ações prioritárias dentre todas as necessárias. Este deve ser sempre o primeiro passo para a definição de controles de segurança da informação.