O Serpro é a primeira empresa pública brasileira a conquistar a certificação British Standart 7799, conhecida como BS 7799. Criada em 1995, a norma britânica é tida como referência mundial em relação à segurança da informação. O certificado é concedido apenas a empresas que geram, implementam e mantém um sistema de gerenciamento que garanta integridade, disponibilidade e confidencialidade em seus serviços.
?A certificação coloca o Serpro em uma posição de vanguarda em segurança. Com o certificado, a empresa torna-se referência tanto para o governo como para o empresariado brasileiro em geral", ressalta o diretor do Serpro, Antônio Sérgio Cangiano. A conquista do certificado, segundo ele, mostra que todos os procedimentos ligados à certificação digital adotados acontecem corretamente. ?Além disso, temos um órgão internacional aferindo que nossos serviços de segurança estão de acordo com normas internacionais e plenamente vivos dentro da empresa", explica.
Desde maio do ano passado, o Serpro vem se preparando para obter o certificado. "O trabalho foi realizado por uma equipe totalmente engajada na obtenção de uma certificação até então inédita para a empresa", explica Gilberto Netto, coordenador do Centro de Certificação Digital do Serpro. Desde então, o CCD no Rio de Janeiro foi auditado diversas vezes internamente para verificar a conformidade dos controles de segurança utilizados no CCD com aqueles definidos pela norma.
Em dezembro do ano passado, foi a vez da Det Norske Veritas (DNV) realizar a primeira auditoria no local. A DNV é uma fundação internacional com sede na Noruega que atua no setor de gestão de segurança da informação. Ela existe desde 1864 e opera em cerca de 100 países. A auditoria final ocorreu há poucas semanas e resultou na recomendação da DNV para a emissão do certificado ao Serpro.
A certificação conquistada pela empresa está ligada ao serviço de criação, operação e manutenção de autoridades certificadoras (ACs), serviço que hoje é prestado pelo Serpro para a Receita Federal, Presidência da República, Justiça Federal, além das ACs da própria empresa.
"Para conquistarmos esse certificado foi necessário implementar o sistema de gerenciamento de segurança da informação com a geração de toda a documentação descrevendo o sistema, aprimorando a documentação operacional já existente, além da realização de todo o ciclo PDCA (sigla em inglês de plan, do, check e act), envolvendo a execução de novas avaliações de risco e execução do respectivo plano de tratamento, auditorias internas e revisão pela alta direção", explica Alice Vasconcellos, gerente responsável pela implementação do sistema.
O próximo objetivo do Serpro é obter a certificação ISO27001, a nova norma de segurança da informação, também com reconhecimento internacional, o que deverá ocorrer em novembro deste ano. Além disso, a empresa pretende ampliar o escopo inicial da certificação obtida.
