Minuta da nova Política Corporativa de Segurança da Informação (PCSI) do TCE-RO é aprovada pelo Cosic e encaminhada à Presidência
Em continuidade às ações previstas no Programa Corporativo de Gestão da Segurança da Informação e Privacidade de Dados (PCGSIPD) do Tribunal de Contas, o Comitê de Segurança da Informação e Comunicação (Cosic) do TCE-RO, após aprovação dos seus membros, encaminhou à Presidência da Corte, no dia 6 de junho, minuta da nova Política Corporativa de Segurança da Informação (PCSI) em substituição à Resolução Administrativa 41/2006/TCE-RO.
A nova PCSI traz diretrizes importantes para aprimorar e sistematizar em política as práticas institucionais relacionadas à segurança da informação e privacidade, que contribuem para assegurar o suporte necessário ao pleno exercício das funções do TCE-RO, uma vez que a segurança da informação e privacidade é responsabilidade de todos no âmbito da Instituição e principalmente dos gestores e da alta direção, consistindo em aspectos de liderança, estrutura organizacional e processos que garantam que a informação tenha o devido tratamento no âmbito da Corte.
A PCSI está pautada em princípios basilares de garantia e preservação da integridade, da autenticidade e da privacidade das informações produzidas e recebidas; da transparência das informações públicas; da proteção adequada às informações com necessidade de restrição de acesso; do planejamento das ações de segurança da informação e privacidade por meio de uma abordagem baseada em riscos; e da garantia da disponibilidade e privacidade das informações custodiadas pelo TCE-RO abrangendo aspectos físicos, tecnológicos e humanos.
EIXOS
A nova Política Corporativa de Segurança da Informação, a ser especificada em normativo do Colegiado do Tribunal, integra o PCGSIPD aprovado pela Portaria-TCE-RO nº 123, de 5 de abril de 2021, composto pelos seguintes eixos:
I – organização da segurança da informação e privacidade;
II – classificação da informação;
III – proteção de dados pessoais;
IV – controle de acesso à informação;
V – gestão de riscos de segurança da informação e privacidade;
VI – gestão de incidentes em segurança da informação e privacidade;
VII – segurança da informação em recursos humanos;
VIII – segurança em tecnologia da informação e comunicações;
IX – aquisição, desenvolvimento e manutenção de sistemas; e
X – segurança física e do ambiente;
Os eixos do PCGSIPD são interdependentes e serão estruturados e monitorados de forma a permitir sua melhoria contínua.
Outro ponto importante da PCSI diz respeito à organização da segurança da informação e privacidade, abordada na seção 6 da ABNT NBR ISO/IEC 27002:2013, que tem por objetivo estabelecer as premissas básicas de uma estrutura organizacional de gerenciamento de processos para controlar a implementação, operação, revisão e melhoramento da segurança da informação e privacidade nas organizações públicas ou privadas.
Desta forma, atende a necessidade de estabelecer e aperfeiçoar a gestão da continuidade do negócio, a gerência de incidentes cibernéticos, a análise de riscos, as áreas específicas para o gerenciamento da segurança da informação, privacidade e proteção de dados, da cibersegurança, da política corporativa de segurança da informação e dos procedimentos de controle de acesso, entre outros.
O Cosic propõe na PCSI o estabelecimento de estruturas administrativas interna com responsabilidades de zelar pela segurança da informação, privacidade e proteção de dados pessoais, e pela segurança cibernética, em consonância com o PCGSIPD, com a Lei Geral de Proteção de Dados Pessoais (LGPD) e demais normas e políticas específicas.
SEGURANÇA DA INFORMAÇÃO E PRIVACIDADE DE DADOS
O encarregado de proteção de dados (DPO) do TCE-RO, Charles Vasconcelos, pontua que a segurança da informação e privacidade de dados é um tema que envolve diferentes aspectos de organização, desde a concepção de estrutura organizacional de gerenciamento e controle, até os locais onde a informação é armazenada, e ainda os recursos humanos e tecnológicos.
Abrange também os processos de trabalho, a relação com fornecedores e prestadores de serviço, o uso adequado das ferramentas e serviços de tecnologia da informação, os cuidados com o ambiente de trabalho (presencial ou remoto) e a publicação de normas que regulamentem o tema.
O encarregado também destaca que, com o avanço da tecnologia e dos sistemas de informações, as organizações públicas e privadas começaram a automatizar seus processos e sistemas, o que expandiu suas fronteiras para uma melhor prestação de serviços e execução de suas atividades finalísticas.
Consequentemente ampliou os riscos do negócio passando a conviver com vulnerabilidades e ameaças físicas e lógicas do ambiente organizacional. Sendo assim, surgiu a necessidade de estruturar, controlar, acompanhar e manter seguro, não apenas o ambiente de tecnologia da informação e comunicação, mas toda a organização de forma transversal.
Por fim, conclui que a aprovação e implantação da nova Política Corporativa de Segurança da Informação do TCE-RO elevará o nível da Corte de Contas para figurar entre as instituições públicas do Brasil que dispõem de estruturas e mecanismos adequados para tratar efetivamente da temática no ambiente organizacional, bem como, servirá de modelo estrutural a ser fomentado junto ao jurisdicionado objetivando orientar para que observem a importância do tema, visando o adequado gerenciamento da segurança da informação, da privacidade e da segurança cibernética, para, assim, fortalecer a continuidade do negócio em observância às diretrizes legais.