Os Referenciais ISO/IEC 17799 e ISO/IEC 27001 e a Moderniza��o Administrativa

Os conceitos de sociedade da informa��o e de economia digital s�o duas constantes, quer na actualidade internacional, quer na actualidade nacional. A liberaliza��o dos mercados internacionais e a globaliza��o trouxeram desafios acrescidos para as organiza��es. Por um lado, a necessidade de trocar informa��o, contribuindo desta forma para a melhoria da qualidade de bens e servi�os por estas disponibilizados. Por outro lado, a necessidade de proteger essa mesma informa��o, enquanto recurso valioso e potenciador da aquisi��o de vantagens competitivas. Actualmente, estas preocupa��es n�o se cingem apenas �s organiza��es e empresas privadas.

Todos os dias sentimos necessidade de trocar informa��o, de comunicar, de saber o que se passa no mundo, de aprender a realizar uma determinada tarefa ou levar a cabo um certo processo. Muitos s�o os tipos e as naturezas da informa��o que utilizamos nas mais diversas actividades, quer em casa, quer no emprego. O diagn�stico de um m�dico, o nosso extracto banc�rio, o hor�rio de uma determinada loja ou institui��o, os documentos necess�rios para a renova��o do nosso bilhete de identidade e a sua correcta forma de preenchimento, s�o apenas alguns exemplos. Por estas e outras raz�es, a informa��o � cada vez mais considerada como um bem valioso, n�o s� pelas organiza��es, mas tamb�m pelos cidad�os e pelo Estado.

Esta necessidade de informa��o e da aquisi��o de conhecimento conduziu � verifica��o da car�ncia de ferramentas que possibilitassem novas formas de comunica��o, com maior rapidez e fiabilidade. Da necessidade crescente do efectivo processamento, armazenamento e transmiss�o de informa��o resultaram as tecnologias de informa��o e comunica��o que, em conjunto com as pessoas e a informa��o, s�o elementos fundamentais dos sistemas de informa��o.

Das tecnologias desenvolvidas destacam-se os telem�veis, as redes de comunica��o de dados e a Internet, que permite a qualquer cidad�o que possua um computador pessoal e uma liga��o a esta rede global, o acesso a um conjunto de informa��o e servi�os de uma forma mais c�lere e directa, algo que previamente ao apogeu da Internet era inconceb�vel. Hoje, esta ferramenta � utilizada por grande parte dos cidad�os e institui��es, privadas e governamentais, para o acesso e troca de informa��o, para tirar partido de servi�os ou mesmo adquirir bens, fomentando a moderniza��o da administra��o p�blica, central e local que, por sua vez possibilita a melhoria das rela��es entre mun�cipe e autarquia, entre cidad�o e organismo e entre empresa e organismo.

Contudo, mesmo ap�s a massifica��o deste cada vez mais importante e distribu�do recurso, algumas quest�es ou problemas mantinham-se e em parte ainda subsistem:

A atribui��o de direitos de acesso a informa��o sens�vel, pr�pria ou de outrem, atrav�s de uma rede considerada insegura, o que acarreta desafios ao n�vel da autentica��o robusta dos utilizadores e ao n�vel da protec��o da informa��o a ser transmitida ou mesmo armazenada nos sistemas de informa��o das entidades ou institui��es;
A troca de informa��o entre as pr�prias institui��es governamentais requer medidas de seguran�a adicionais, como o estabelecimento de protocolos pr�prios e de infra-estruturas de suporte adequadas que possibilitem a transmiss�o atempada e em formato adequado de informa��o pr�pria e de cidad�os e empresas;
A necessidade de autentica��o ou da verifica��o da fiabilidade de documentos, por exemplo, atrav�s da valida��o da assinatura do requerente, algo que no mundo digital se torna bastante mais complexo de ser conseguido, pelo que alguns dos processos s�o levados a cabo recorrendo a uma abordagem mista: solicita��o ou desencadear do processo feito digitalmente e confirma��o/efectiva��o do desencadeamento do processo realizada com recursos a documenta��o em papel, com valor legal;
O baixo n�vel de confian�a nas referidas transac��es, por parte de cidad�os e empresas, que por um lado receiam pela protec��o de informa��o privada sens�vel, e por outro, j� rotinados na utiliza��o de formul�rios em papel e documentos de identifica��o palp�veis, desenvolvem animosidade para com a utiliza��o da referida tecnologia para os diversos fins que possibilita a este n�vel.

Por outro lado, da utiliza��o dos sistemas de informa��o para o suporte �s rela��es mencionadas e por conseguinte ao processo de moderniza��o administrativa temos:

Uma diminui��o da burocracia associada com os processos de decis�o, tornando simultaneamente estes processos mais transparentes e c�leres;
A diminui��o do tempo despendido pelos cidad�os em desloca��es e no desencadear de determinados processos, uma vez que poder�o faz�-lo a partir de qualquer local e a qualquer hora do dia;
A aus�ncia da duplica��o de registos sobre um determinado processo ou cidad�o, atrav�s da redu��o do uso de documenta��o em papel, em detrimento do recurso a registos e formul�rios electr�nicos, facilmente partilh�veis e transmiss�veis entre institui��es;
O aumento da produtividade por parte da administra��o p�blica central, regional e local, bem como a redu��o do tempo e recursos alocados ao atendimento ao p�blico localmente, assistindo-se a uma descentraliza��o dos servi�os e da tomada de decis�o.

Atendendo aos benef�cios trazidos pelo recurso a ferramentas poderosas como a Internet, torna-se evidente que os desafios supra mencionados dever�o ser respondidos de forma adequada. A quest�o � como.

Seguran�a da informa��o

A informa��o �, sem d�vida, um valioso recurso organizacional, posse da pr�pria organiza��o, de fornecedores, clientes ou parceiros de neg�cio, muitas vezes a base do neg�cio e como tal, alvo de cobi�a por parte de concorrentes e competidores: todos os dias ouvimos e lemos relatos de casos de ataques � seguran�a da informa��o, desde fraude a pirataria inform�tica, passando por espionagem industrial, muitas s�o as formas e perspectivas que tais problemas podem tomar.

Considerando um ambiente organizacional, a informa��o � obtida, processada, armazenada, mantida e transmitida com o intuito de dela retirar benef�cios ao n�vel do suporte da tomada de decis�o organizacional, pelo que a sua qualidade (fiabilidade, integridade, disponibilidade, confidencialidade, etc.) e adequa��o s�o dois elementos indispens�veis para a continuidade do neg�cio das empresas numa realidade e envolvente cada vez mais competitiva, e apenas podem ser garantidos atrav�s da protec��o dessa mesma informa��o.

No entanto, tamb�m a informa��o institucional e pessoal pode revelar-se extremamente valiosa em m�os indevidas: todos sabemos que n�o devemos dar o nosso n�mero de cart�o de cr�dito a ningu�m, ou mesmo o nosso PIN do cart�o multibanco, sob pena de podermos ser v�timas de roubo ou fraude, caso esta informa��o caia nas m�os de prevaricadores; tamb�m v�rios s�o os casos de roubo de identidade que se sucedem, por exemplo em institui��es governamentais e financeiras em v�rios pa�ses espalhados pelo mundo, tornando-se numa constante que, mais cedo ou mais tarde afectar� tamb�m Portugal.

Desta forma e atendendo ao clima de desconfian�a criado por in�meros relatos de roubo de identidade e demais quebras de seguran�a que afectam informa��o dos pr�prios cidad�os, como podem as institui��es, ainda que governamentais, fomentar rela��es de confian�a entre elas pr�prias e particulares ou empresas? Que n�vel de garantia � necess�rio e como pode ser alcan�ado? A solu��o passa necessariamente pelo conceito de Seguran�a da Informa��o e pelo seguimento e adop��o do estipulado nos referenciais internacionalmente reconhecidos a este n�vel: as normas ISO/IEC 17799:2005 e ISO/IEC 27001:2005.

De acordo com estas normas, seguran�a da informa��o pode ser definida como o processo de protec��o da informa��o organizacional (e respectivas infra-estruturas de suporte) contra um vasto conjunto de amea�as de forma a possibilitar a minimiza��o do risco e garantir a continuidade do seu neg�cio, atrav�s da preserva��o de tr�s caracter�sticas ou dimens�es da informa��o:

Confidencialidade - A garantia de que a informa��o apenas se encontra dispon�vel para quem est� autorizado a aced�-la;
Integridade - Salvaguarda da exactid�o da informa��o e dos seus m�todos de processamento, sendo uma caracter�stica sempre necess�ria;
Disponibilidade - Garantia de que as pessoas autorizadas a aceder � informa��o (e outros bens de informa��o), podem faz�-lo sempre que necess�rio.

Estes referenciais estipulam ainda a necessidade da protec��o adequada da informa��o independentemente do seu formato f�sico e mecanismo atrav�s do qual � transmitida ou armazenada, alertando para a diversidade de meios � disposi��o das organiza��es, incluindo o capital intelectual dos seus recursos humanos.

O standard internacional ISO/IEC 17799:2005- Information Technology - Code of practice for Information Security Management, desenvolvido pela British Standards Intitution (BSI), enquanto BS 7799-1, define as boas pr�ticas para uma gest�o efectiva da seguran�a da informa��o de neg�cio das organiza��es, independentemente do meio ou formato em que essa informa��o resida, ou mesmo da actividade, dimens�o ou natureza das organiza��es.

Este referencial, desenvolvido a partir das pr�ticas me vigor na ind�stria em 1995 e actualizado desde ent�o, disponibiliza �s organiza��es uma base comum para a gest�o da seguran�a da informa��o e como tal, para o estabelecimento de rela��es de confian�a entre entidades e para o incremento da sua capacidade de resposta a incidentes e de sobreviv�ncia, atrav�s do desenvolvimento, implanta��o e medi��o efectiva das pr�ticas e controlos de seguran�a da informa��o adaptados �s necessidades de cada organiza��o.

Desta forma, as organiza��es s�o aconselhadas a desenvolver as suas pr�prias pol�ticas, procedimentos, processos e planos de seguran�a, bem como os controlos que melhor se adequam aos seus requisitos a este n�vel, com base nas directrizes estabelecidas no referencial em quest�o.

Neste sentido, a ISO/IEC 17799 enquanto c�digo de pr�ticas, apresenta 11 cap�tulos de controlos, que correspondem a cerca de 144 controlos ou medidas de seguran�a distintas mas complementares, que por sua vez podem ser exponencialmente transformadas em mais de 3000 controlos espec�ficos, organizados da seguinte forma:

Pol�tica de seguran�a;
Organiza��o da seguran�a da informa��o;
Gest�o de recursos;
Seguran�a dos recursos humanos;
Seguran�a f�sica e ambiental;
Gest�o das comunica��es e opera��es;
Controlo de acessos;
Aquisi��o, desenvolvimento e manuten��o de sistemas de informa��o;
Gest�o de incidentes de seguran�a da informa��o;
Gest�o da continuidade do neg�cio;
Conformidade.

Importa ainda referir que as directrizes estipuladas nesta norma s�o independentes de qualquer tecnologia ou ferramenta presente no mercado, pelo que a seguran�a da informa��o e pr�ticas associadas, incluem mas n�o se cingem � seguran�a inform�tica, fortemente marcada pelo recurso a tecnologia, sendo pelo contr�rio um processo de gest�o, apenas poss�vel e bem sucedido atrav�s da interven��o dos recursos humanos e da gest�o das organiza��es.

Por seu lado, a recentemente publicada ISO/IEC 27001:2005 - Information Security Management Systems - Requirements, anteriormente referenciada como BS 7799-2 e inicialmente desenvolvida pela BSI, especifica os requisitos para o desenvolvimento, implementa��o, opera��o, documenta��o, manuten��o, revis�o e melhoria cont�nua de um ISMS (Information Security Management System - Sistema de Gest�o da Seguran�a da Informa��o), em conson�ncia e atrav�s do seguimento das boas pr�ticas estipuladas na ISO/IEC 17799.

Este ISMS pode ser entendido como parte de um sistema de gest�o global, baseado numa abordagem ao risco para o neg�cio, no sentido de estabelecer, implementar, operar, monitorizar, rever, manter e melhorar a seguran�a da informa��o, nas organiza��es, e que pode abranger toda uma organiza��o, um departamento, uma unidade de neg�cio ou somente um processo de neg�cio cr�tico e os recursos que lhe est�o associados.

A metodologia de implementa��o da ISO/IEC 27001 numa organiza��o � baseada numa abordagem por processos, nomeadamente no modelo PDCA (Plan Do Check Act), refer�ncia comum a outras normas internacionais como a ISO 9001 e a ISO 14001, utilizadas para certifica��o de Sistemas de Gest�o da Qualidade e de Sistemas de Gest�o do Ambiente, respectivamente.

Importa ainda referir que a ISO/IEC 27001 se encontra alinhada com as directrizes publicadas em 2002 pela OCDE (Organiza��o para o Com�rcio e Desenvolvimento Econ�mico) ao n�vel da seguran�a das redes e sistemas de informa��o, amplamente adoptadas pelos estados membros da Uni�o Europeia, sendo a ISO/IEC 27001 ainda utilizada para objectivos de certifica��o.

Como pode ent�o o estipulado na ISO/IEC 17799 e ISO/IEC 27001 contribuir para o alcance de um n�vel de garantia de seguran�a da informa��o apropriado a transac��es e troca de informa��o sens�vel em formato electr�nico, nomeadamente com recurso � Internet, sem que a usabilidade das ferramentas utilizadas seja comprometida?

Como pode a seguran�a da informa��o ser parte integrante e em certa medida, a potenciadora da adop��o de processos e solu��es que possibilitem a melhora da interoperabilidade entre institui��es e entre estas e os cidad�os e as empresas, fomentando o e-government e a moderniza��o administrativa?

O papel da seguran�a da informa��o na interoperabilidade e na moderniza��o administrativa

As fun��es das institui��es da administra��o p�blica quer central, quer regional ou local, s�o realizadas com base em informa��o, informa��o esta que se encontra em diversos formatos e cujo processamento, armazenamento e transmiss�o � realizado de formas distintas e com recurso a ferramentas diferentes, consoante o prop�sito a alcan�ar ou consoante os intervenientes no processo.

A multiplicidade de cen�rios poss�veis � enorme, bem como o conjunto de solu��es, mas analisemos brevemente como os controlos da ISO/IEC 17799 e da ISO/IEC 27001 podem contribuir para o sucesso da interoperabilidade entre institui��es governamentais e contribuir para a seguran�a dos diversos processos associados � administra��o p�blica, bem como para o estabelecimento de rela��es de confian�a entre cidad�os, empresas e institui��es governamentais.

Cada um dos 11 cap�tulos de controlos especificados nestes referenciais internacionais podem representar um importante papel para a seguran�a na interoperabilidade e no processo de moderniza��o administrativa. Segue-se a apresenta��o destes conjuntos de controlos, bem como alguns exemplos.

Pol�tica de seguran�a. O estabelecimento de uma Pol�tica de Seguran�a da Informa��o tem por prop�sito a determina��o dos objectivos e da direc��o e suporte por parte da gest�o de topo ao n�vel da seguran�a da organiza��o na organiza��o, de acordo com os requisitos de neg�cio e regulamenta��o e legisla��o relevantes em vigor. Como tal a defini��o de uma pol�tica de seguran�a global que regulasse a seguran�a da informa��o ao n�vel das rela��es entre institui��es e entre estas e os cidad�os e empresas pode representar o primeiro passo para uma cultura de seguran�a �nica e para a uniformiza��o dos controlos e procedimentos utilizados por estas.
Organiza��o da seguran�a da informa��o. A organiza��o da seguran�a da informa��o tem por objectivo facilitar a gest�o da seguran�a da informa��o em ambientes organizacionais, tendo em conta constrangimentos decorrentes das diferentes estruturas organizacionais e modelos de neg�cio existentes e amplamente adoptados. O desenvolvimento e implementa��o de uma matriz �nica para a gest�o e estrutura��o da seguran�a da informa��o nas institui��es governamentais possibilitar� tamb�m a uniformiza��o de processos a este n�vel e por exemplo no que concerne a rela��es com entidades externas, incluindo mesmo quest�es que se prendem com o estabelecimento de acordos formais com estas.
Gest�o de recursos. O alcance e manuten��o da protec��o adequada dos recursos organizacionais � a meta da gest�o de recursos, algo que usualmente passa pela inventaria��o e classifica��o dos diferentes recursos (entre os quais se conta informa��o e infra-estruturas de suporte) cr�ticos para a continuidade do neg�cio da organiza��o, de acordo com a sua relev�ncia para os processos de neg�cio em quest�o e de acordo com o impacto do seu compromisso em caso de falha de seguran�a. No que concerne ao processo de moderniza��o administrativa e de interoperabilidade entre institui��es, a gest�o de recursos torna-se relevante por exemplo, para o conhecimento das diferentes e numerosas infra-estruturas de processamento, armazenamento e disponibiliza��o da informa��o, mas principalmente para o conhecimento da sensibilidade e criticidade da informa��o obtida, disponibilizada, processada e armazenada em cada processo, determinando a forma como essa informa��o ser� protegida.
Seguran�a dos recursos humanos. Os controlos especificados no cap�tulo subordinado � tem�tica da seguran�a dos recursos humanos tem por prop�sito garantir que os colaboradores, entidades subcontratadas e utilizadores de terceiros compreendem as suas responsabilidades e se encontram adequados �s fun��es para que s�o considerados, no sentido de reduzir o risco de roubo, fraude ou utiliza��o indevida de infra-estruturas da organiza��o. Outros objectivos prendem-se com o conhecimento tamb�m por parte destes, das amea�as e preocupa��es ao n�vel da seguran�a da informa��o, das suas responsabilidades e que est�o equipados para suportar a pol�tica de seguran�a organizacional no decurso da sua actividade normal e reduzir o risco de erro humano. Este � um aspecto extremamente importante para qualquer organiza��o, incluindo institui��es da administra��o p�blica: a necessidade de sensibilizar quer os cidad�os, quer os seus pr�prios recursos humanos para as quest�es da seguran�a da informa��o e form�-los no sentido de minimizar a probabilidade de ocorr�ncia de quebras ou falhas de seguran�a relacionadas com erros humanos.
Seguran�a f�sica e ambiental. Os controlos estabelecidos pelo cap�tulo se seguran�a f�sica e ambiental tem por objectivo prevenir o acesso f�sico n�o autorizado, bem como danos e interfer�ncias o per�metro e na informa��o da organiza��o e prevenir a perda, dano, roubo ou compromisso de recursos e a interrup��o das actividades organizacionais. Talvez o aspecto mais vis�vel da seguran�a da informa��o ser� precisamente a protec��o f�sica do equipamento e demais infra-estruturas de suporte � informa��o processada, armazenada e comunicada. Tamb�m no que concerne � interoperabilidade entre institui��es separadas quer l�gica quer fisicamente, esta dimens�o de controlos ganha extrema relev�ncia, por exemplo, ao n�vel da protec��o da cablagem que une as diversas infra-estruturas ou mesmo ao n�vel da protec��o f�sica (controlo de temperatura, manuten��o, alimenta��o el�ctrica, etc.) dos servidores que controlam e possibilitam essas mesmas transac��es.
Gest�o das comunica��es e opera��es. A inclus�o da seguran�a ao n�vel da gest�o das comunica��es e opera��es tem por objectivos: garantir a correcta e segura opera��o das infra-estruturas de processamento da informa��o; a implementa��o e manuten��o de um n�vel apropriado de seguran�a da informa��o e entrega de servi�os, alinhados com acordos de entrega de servi�os por parte de terceiros; a minimiza��o do risco de falhas do sistema, bem como a protec��o da integridade do software e da informa��o; a manuten��o da integridade e disponibilidade da informa��o e das respectivas infra-estruturas de processamento e a garantia da protec��o da informa��o em redes e a protec��o da infra-estrutura de suporte; a preven��o da divulga��o, modifica��o, remo��o e destrui��o n�o autorizadas de informa��o de recursos e a interrup��o das actividades de neg�cio; a manuten��o da seguran�a da informa��o e do software trocados dentro da organiza��o e entre esta e entidades externas; a garantia da seguran�a dos servi�os de com�rcio electr�nico e a sua segura utiliza��o, e ao n�vel de monitoriza��o da utiliza��o dos sistemas, detectar actividades n�o autorizadas de processamento de informa��o. Este cap�tulo � talvez que apresenta o maior n�mero de controlos directamente relacionados com a problem�tica da inseguran�a na interoperabilidade entre institui��es governamentais, nomeadamente porque lida com a vertente mais t�cnica do referido processo, em conjunto com os dois cap�tulos seguintes, indo desde a protec��o das comunica��es, � protec��o da informa��o em transmiss�o e das infra-estruturas que a possibilitam, passando pela realiza��o e teste de backups e respectivas infra-estruturas, pela destrui��o de equipamento e pela monitoriza��o da utiliza��o dos diferentes sistemas e servi�os.
Controlo de acessos. Atendendo a que o acesso � informa��o, infra-estruturas de processamento da informa��o e processos de neg�cio deve ser controlado com base nos requisitos de neg�cio e de seguran�a, o cap�tulo subordinado � tem�tica do controlo de acessos tem por objectivo responder a diferentes desafios: prevenir acessos n�o autorizados por parte dos utilizadores, bem como o compromisso ou roubo da informa��o e respectivas infra-estruturas de processamento; garantir o acesso dos utilizadores autorizados e prevenir acessos n�o autorizados aos sistemas de informa��o; prevenir acessos n�o autorizados a servi�os de rede, sistemas operativos e a informa��o contida em sistemas aplicacionais e ainda garantir a seguran�a da informa��o aquando da utiliza��o de infra-estruturas de computa��o m�vel e de teletrabalho. O controlo de acessos � sem d�vida um aspecto fundamental para a disponibiliza��o de servi�os on-line por parte de empresas e institui��es governamentais, uma vez que � necess�ria a autentica��o e identifica��o inequ�voca dos cidad�os e empresas que tiram partido dos referidos servi�os; a garantia de que apenas quem est� autorizado a aceder a um determinado tipo de informa��o � crucial, nomeadamente porque no caso da administra��o p�blica a informa��o transaccionada � muitas das vezes de cariz privado ou confidencial, pelo que o compromisso da sua integridade e confidencialidade poderia acarretar consequ�ncias dr�sticas para cidad�os, empresas e mesmo para as pr�prias institui��es. Assim, a defini��o e implementa��o de mecanismos de autentica��o dos utilizadores em portais governamentais e a defini��o dos diferentes n�veis de acesso a servi�os e informa��o revelam-se de extrema import�ncia para a seguran�a da informa��o e para o sucesso do processo de moderniza��o administrativa.
Aquisi��o, desenvolvimento e manuten��o de sistemas de informa��o. O cap�tulo subordinado � inclus�o da seguran�a nos processos de aquisi��o, desenvolvimento e manuten��o de Sistemas de Informa��o tem por prop�sito garantir que a seguran�a � uma parte integrante dos sistemas de informa��o, prevenindo desta forma erros, perda, modifica��o n�o autorizada e utiliza��o indevida de informa��o em aplica��es; proteger a confidencialidade, autenticidade e integridade da informa��o atrav�s de meios criptogr�ficos; garantir a seguran�a dos ficheiros de sistema, bem como dos sistemas aplicacionais e da informa��o; e por fim, reduzir os riscos decorrentes da explora��o de vulnerabilidades t�cnicas publicadas. A inclus�o da seguran�a na aquisi��o, desenvolvimento e manuten��o de sistemas e software que suportam a disponibiliza��o de servi�os on-line, por parte de institui��es governamentais � um factor determinante para o alcance da seguran�a das comunica��es e da pr�pria informa��o: de que servem mecanismos de autentica��o robustos e as melhores e mais seguras infra-estruturas de processamento, armazenamento e disponibiliza��o da informa��o se os sistemas que a gerem e suportam n�o oferecem garantias a este n�vel?
Gest�o de incidentes de seguran�a da informa��o. O processo de gest�o de incidentes de seguran�a da informa��o pretende garantir que eventos e falhas de seguran�a da informa��o, associados com sistemas de informa��o s�o comunicados de forma a permitir a implementa��o atempada das medidas correctivas adequadas e garantir que uma abordagem consistente e eficaz � aplicada � gest�o de incidentes de seguran�a da informa��o. Neste sentido, tamb�m os controlos especificados neste cap�tulo s�o relevantes para o processo de moderniza��o administra��o: a identifica��o atempada e a correcta comunica��o de incidentes de seguran�a, como seja por exemplo, a indisponibilidade moment�nea de um portal ou website, ou mesmo de um servi�o, pode revelar-se indispens�vel para a garantia da qualidade dos servi�os prestados aos cidad�os e para a manuten��o das rela��es de confian�a previamente estabelecidas.
Gest�o da continuidade do neg�cio. A gest�o da continuidade do neg�cio, objectivo �ltimo da seguran�a da informa��o nas organiza��es, tem por intuito contrapor interrup��es nas actividades de neg�cio e proteger processos cr�ticos de neg�cio dos efeitos de falhas significativas dos sistemas de informa��o ou de desastres, e garantir a recupera��o atempada dos primeiros. Na sequ�ncia do que foi referido ao n�vel do papel da gest�o dos incidentes de seguran�a da informa��o na melhoria da interoperabilidade e do processo de moderniza��o administrativa, tamb�m o planeamento da continuidade do neg�cio e dentro deste, o planeamento da conting�ncia e recupera��o, desempenham importantes pap�is, na medida que estipulam o que dever� ser feito na eventualidade da verifica��o de um evento n�o previsto ou de um desastre de propor��es e/ou consequ�ncias significativas.
Conformidade. Por fim, � obrigat�ria a conformidade com a legisla��o em vigor, bem como com quaisquer obriga��es contratuais e o cumprimento de quaisquer requisitos de seguran�a preestabelecidos; Outros objectivos deste cap�tulo s�o a garantia da conformidade dos sistemas com as pol�ticas e standards organizacionais, bem como a maximiza��o da efic�cia e minimiza��o da interfer�ncia de e para o processo de auditoria aos sistemas de informa��o. No que concerne ao desafio da moderniza��o administrativa e interoperabilidade entre institui��es, a conformidade � um aspecto fundamental, atendendo ao n�vel de sensibilidade e criticidade da informa��o processada, armazenada e transmitida, mas tamb�m ao n�vel das quest�es de reconhecimento de assinaturas digitais e/ou 'f�sicas' dos requisitantes dos diversos servi�os, pelo que � necess�ria a observ�ncia do estipulado na legisla��o n�o s� nacional, mas tamb�m comunit�ria (UE).

Conclus�o

Atendendo aos diversos benef�cios trazidos pela moderniza��o da administra��o p�blica central, regional e local, bem como ao n�vel da interoperabilidade entre organiza��es e institui��es governamentais, podemos afirmar que ambos os processos vir�o a ganhar uma import�ncia crescente para a desburocratiza��o das rela��es entre cidad�os e empresas e institui��es governamentais, aumentando a qualidade e rapidez dos servi�os por estas prestados aos primeiros. Contudo, importantes e dif�ceis desafios se colocam a este n�vel, nomeadamente no que concerne a quest�es relacionadas com a seguran�a da informa��o dos diferentes intervenientes nas referidas rela��es e processos.

Parte da solu��o para os desafios trazidos pelo alcance da interoperabilidade entre institui��es p�blicas e ao n�vel da moderniza��o administrativa, passa sem d�vida pela adop��o de boas pr�ticas ao n�vel da seguran�a da informa��o, pelo que o estipulado nos referenciais internacionais ISO/IEC 17799 e ISO/IEC 27001 podem revelar-se crucial para estas entidades e facilitar a adop��o de ferramentas tecnol�gicas e recursos como a Internet, garantindo a sua seguran�a e robustez, sem no entanto comprometer a sua usabilidade.

Produzido em 2005
�

Topo

Agenda

Destaques