O ambiente de tecnologia da informação, ou TI, tem por característica ser muito mais operacional que tático/estratégico dentro de uma organização. Essa característica, que remonta ao aparecimento do computador, é facilmente identificada nos dias de hoje (BAARS, 2009). A TI sempre teve dificuldade para a formalização de atividades e processos de trabalho, ou mesmo na documentação de sistemas de informação. Este aspecto prático de fazer e não registrar começou a ter impacto quando surgiram as normas e boas práticas, que exigiam a elaboração de documentos e evidências para os processos de auditoria.

A norma ISO/IEC 27001 (ABNT, 2006) é um destes exemplos, pois ela é uma norma de certificação que, por sua natureza, exige formalidade, documentação e organização. Mas documentar dentro do ambiente de TI significa elaborar documentos eletrônicos, planilhas, inserir informações em sistemas e depois imprimir no formato que for necessário. Este cenário fica mais acentuado quando a abordagem é pela norma ISO/IEC 27002 (ABNT, 2005). Esta norma apresenta cento e trinta e três controles de segurança da informação, que na sua maioria é apoiado por um documento (eletrônico ou não).

Políticas e Termos de Responsabilidade
É muito comum as organizações possuírem as políticas de segurança da informação definidas e documentadas, afinal a sessão 5 da norma ISO/IEC 27002 (ABNT, 2005) estabelece isso como um controle de segurança. Na maioria das vezes para formalizar estas políticas os colaboradores são obrigados a assinar um termo de responsabilidade, concordando com a política e suas punições. Este mesmo termo de responsabilidade também é utilizado quando é realizado o comodato de equipamentos, como celulares e computadores. Com o passar do tempo, os colaboradores possuem alguns documentos assinados, com base em políticas desatualizadas e que não refletem mais o ambiente tecnológico e a cultura organizacional.

Monitoramento e Controle de Acesso
Outro ponto importante sob a ótica da norma de segurança é em relação a sessão 10 da ISO/IEC 27002 (ABNT, 2005), pois ela estabelece a proteção das informações dos registros (logs) dos sistemas operacionais e de informação. Estes registros precisam ser segregados pelo tipo de usuário (administrador ou operador) do sistema, além de registrar falhas. Muitas atividades de suporte a manutenção utilizam estes registros como base de informações, porém eles também são utilizados para a geração de evidências técnicas de fraude computacionais e na informática forense.


Várias das atividades de auditoria financeira estão tomando como base os sistemas de informações financeiros e seus registros, que tem a capacidade de rastrear um incidente e alocar responsabilidade. Aqui acontece o cruzamento dos conceitos já vistos, pois os registros são ferramentas de rastreio que concluem que determinado usuário (identificado pelo seu código de acesso) realizou tais operações. Este usuário assinou um termo de responsabilidade que dizia que seu código de acesso é pessoal, intransferível e único. As políticas definiam o que poderia ser realizado (termo de uso) e quais as penalidades a serem impostas em caso de incidentes. Este cenário parece ser a solução ideal para as organizações.

Conformidade
Por fim temos a sessão 15 da norma ISO/IEC 27002 (ABNT, 2005) específica sobre conformidade, principalmente sobre requisitos legais. Nesta sessão são encontrados controles que sugerem ações para as organizações se adequarem as legislações locais, sobre os direitos de propriedade intelectual, proteção e privacidade das informações pessoais. Além destes, ainda aborda questões de auditoria de sistemas de informação. Mas uma característica da ISO/IEC 27002 é que em nenhum momento ela aborda o como fazer (how-to), pois a norma tem um caráter de boa prática, ela apenas sugere e diz que convém ter os controles aplicáveis.

Resoluções e Instruções Normativas
Essa característica faz com que cada organização trate os controles de maneira diferenciada e demonstra a necessidade de uma normalização através de agências reguladoras, como é o caso da Agência Nacional de Saúde (ANS) e do Conselho Federal de Medicina (CFM) e suas instruções e resoluções normativas relativas ao padrão TISS (Troca de Informações em Saúde Complementar). O CFM publicou em 2002 uma resolução (Resolução CFM nº 1639 de 10/07/2002) que “Aprova as Normas Técnicas para o Uso de Sistemas Informatizados para a Guarda e Manuseio do Prontuário Médico, dispõe sobre tempo de guarda dos prontuários, estabelece critérios para certificação dos sistemas de informação e dá outras providências” (CFM, 2002). Este é um exemplo da necessidade de se estabelecer critérios na aplicação dos controles de segurança propostas pelas normas e boas práticas.

Referências
Associação Brasileira de Normas Técnicas. Tecnologia da informação – Técnicas de segurança – Requisitos. ABNT NBR ISO/IEC 27001. Rio de Janeiro, 2006.
Associação Brasileira de Normas Técnicas. Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. ABNT NBR ISO/IEC 27002. Rio de Janeiro, 2005.
Baars, Hans; Hintzbergen, Kees; Hintzbergen, Jule; Smulders, André. The Basis of Information Security – A Pratical Handbook. Newton Translations, the Netherlands, 2009.
Conselho Federal de Medicina. Resolução CFM nº 1639 (10/07/2002). Brasil, 2002.