O quarto objetivo específico foi verificar a existência de diferenças entre as características da gestão de segurança da informação apuradas para 2014 e para 2016, alcançado por meio da ANACOR e ilustrado com base no mapa perceptual da Seção 4.3 (Figura 3). Observou-se mudança na adoção das práticas pelos entes do Judiciário, com o movimento dos subitens de se afastar da característica “não adota ou não se aplica” e indo em direção a “iniciou plano” e “adota parcial” e dessas últimas para “adota integral”.
Os subitens “h” – a organização executa processo para classificação e tratamento de informações –, “k” – a organização executa processo de gestão de riscos de segurança da informação –, “f” – a organização executa processo de gestão de ativos, assegurando a definição de responsabilidades e a manutenção de inventário dos ativos –, e “o” – a organização executa processo de monitoramento do uso dos recursos de TI, com objetivo de detectar atividades não autorizadas – apresentaram a maior aproximação da característica adota parcial.
Já os subitens “a” – a organização dispõe de uma política de segurança da
informação formalmente instituída como norma de cumprimento obrigatório –, “b” – a organização dispõe de comitê de segurança da informação,
formalmente instituído, responsável por formular e conduzir diretrizes para a segurança da informação corporativa, composto por representantes de áreas relevantes da organização –, “c” – a organização possui gestor de segurança da informação, formalmente designado, responsável pelas ações corporativas de segurança da informação –, “d” – a organização dispõe de política de controle de acesso à informação e aos recursos e serviços de TI formalmente instituída como norma de cumprimento obrigatório –, “e” – a organização dispõe de política de cópias de segurança (backup) formalmente instituída como norma de cumprimento obrigatório - e “s” - a organização possui equipe de tratamento e resposta a incidentes de segurança em redes computacionais, formalmente instituída – mostraram-se mais próximos ou em direção a característica “adota integral”.
O quinto objetivo específico da pesquisa foi analisar proposta do TCU de agrupar os subitens em “Políticas e responsabilidades” e “Controles e atividades” no questionário do levantamento TCU, alcançado pela seção 4.4 em que o mapa perceptual (Figura 4) mostra a diferença posicional dos agrupamentos na forma de elipses, resultado que valida a divisão proposta pelo TCU.
Com o atingimento dos cinco objetivos específicos, atingiu-se o objetivo geral da pesquisa de investigar as características de gestão da segurança da informação dos órgãos do poder judiciário, baseado em levantamentos do TCU relativos à governança de tecnologia da informação de 2014 e de 2016. Os resultados da pesquisa mostram, quanto às características de gestão de segurança da informação, que no tocante a “Políticas e responsabilidades”, os entes do Poder Judiciário sugerem uma adoção integral nos anos de 2014 e de 2016. Por sua vez, quanto a
“Controles e atividades”, os resultados dos dois anos de análise das respostas desses entes sugerem a necessidade de aprimoramentos.
Considerando a aderência do Levantamento de Governança de TI com frameworks e normas, a adoção dessas práticas pode ser o caminho para aperfeiçoar os resultados obtidos. Adicionalmente o conjunto de habilitadores do COBIT, presente no Quadro 3, apresenta-se como possível catalisador das ações a serem realizadas. Fica o questionamento dos possíveis fatores que levam a ter uma maior dificuldade quando se trata de processos e práticas de Segurança de TI.
Destaca-se que o TCU não fornece dados que possam levar a identificar os respondentes do último levantamento, o que delimita possível estudo que relacione uma quantidade maior de variáveis, como orçamento e quadro de pessoal.
Para estudos futuros, pesquisas envolvendo outros segmentos da Administração Pública podem complementar este estudo, inclusive utilizando técnicas de análise multivariada, envolvendo outras dimensões do levantamento do TCU que não foram objeto de análise. Além da contribuição acadêmica e para os gestores dos tribunais, a contribuição metodológica da ANACOR estende-se para outras áreas e outros tipos de estudo para elaborar mapas perceptuais e descrever ou visualizar variáveis qualitativas.
Por fim, outra sugestão que pode ser apresentada é investigar a prestação de serviços por meio eletrônico no setor público. No referencial teórico deste estudo, diversos conceitos sobre Governo Eletrônico foram citados e muitos deles agrupados no Apêndice A. Esses conceitos podem, inclusive, contribuir para outras pesquisas junto aos usuários dos serviços do poder judiciário e demais serviços públicos ofertados no País.
REFERÊNCIAS
ARRUDA, C. M. M. ; MELLO, R.B.; SILVA, S. V. ; PIURCOSKY, F. P. PANORAMA DA GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO NO COMANDO DA AERONÁUTICA, Interação v. 16, n. 16, 2014. Disponível em: <
http://interacao.unis.edu.br/wp-content/uploads/sites/80/2016/05/2016-5.pdf> Acesso em: 17 julho. 2017.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS - ABNT. ABNT NBR ISO/IEC 27.001/2013. Disponível em: <http://www.abntcatalogo.com.br/> - Acesso em: 04 dezembro. 2016.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS - ABNT. ABNT NBR ISO/IEC 27.002/2013. Disponível em: <http://www.abntcatalogo.com.br/> - Acesso em: 04 dezembro. 2016.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS - ABNT. ABNT NBR ISO/IEC 27.005/2011. Disponível em: <http://www.abntcatalogo.com.br/> - Acesso em: 04 dezembro. 2016.
BATISTA, L. E. ; ESCUDER, M.M. L.; PEREIRA, J. C. R. A cor da morte: causas de óbito segundo características de raça no Estado de São Paulo, 1999 a 2001. Rev Saúde Pública, 2004. Vol 38. Pag. 630. Disponível em:
http://www.scielo.br/pdf/rsp/v38n5/21749.pdf> Acesso em: 17 agosto. 2017.
BEAL, A. Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações – São Paulo: Atlas, 2005.
BLASIUS, J.; GREENACRE, M. Editado por. Visualization of Categorical Data.
Academic Press, 1998 p. 344.
BRASIL. Constituição Federal de 1988. Disponível em:
<http://www.planalto.gov.br/ccivil_03/constituicao/constituicaocompilado.htm>.
Acesso em: 28 outubro. 2016
BRASIL. Decreto Lei nº 5.378 de 23 de fevereiro de 2005. Disponível em: <
http://www.planalto.gov.br/ccivil_03/_ato2004-2006/2005/Decreto/D5378.htm>.
Acesso em: 28 outubro. 2016
BRASIL. Decreto Lei nº 6.932 de 11 de agosto de 2009. Disponível em:
<http://www.planalto.gov.br/ccivil_03/_ato2007-2010/2009/decreto/d6932.htm>.
Acesso em: 28 outubro. 2016
BRASIL. Decreto Lei nº 8.638 de 15 de janeiro de 2016. Disponível em:
<http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2016/Decreto/D8638.htm>.
Acesso em: 28 outubro. 2016
BRASIL. Lei nº 12.527 de 18 de novembro de 2011. Disponível em:
<http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2016/Decreto/D8638.htm>.
Acesso em: 28 novembro. 2016
BRAVIM, J. M. ; FALCÃO, L.; LEANDRO, M. R. L.; TOURINHO, M. B. A. C.
INVESTIMENTOS EM TI VERSUS PLANEJAMENTO: UMA AVALIAÇÃO NAS INSTITUIÇÕES DE ENSINO DA AMAZÔNIA LEGAL XIV COLÓQUIO INTERNACIONAL DE GESTÃO UNIVERSITÁRIA – CIGU A Gestão do Conhecimento e os Novos Modelos de Universidade, Santa Catarina, 2014.
Disponível em: < https://repositorio.ufsc.br/handle/123456789/132039> Acesso em:
17 julho. 2017.
CABINET OFFICE, ITIL® Service Strategy, 2nd ed. Norwich, UK: The Stationery Office (TSO), 2011.
CNJ (2012). Segurança da Informação Diretrizes para a Gestão de Segurança da Informação no âmbito do Poder Judiciário. Disponível em: <
http://www.cnj.jus.br/images/dti/Comite_Gestao_TIC/Diretrizes_Gestao_SI_PJ.pdf>.
Acesso em: 04 dezembro. 2016
CNJ (2014). Resolução 198 de 2014. Disponível em: <http://www.cnj.jus.br/atos-normativos?documento=2029>. Acesso em: 29 setembro. 2016.
CNJ (2015). Resolução 211 de 2015. Disponível em: < http://www.cnj.jus.br/atos-normativos?documento=2227>. Acesso em: 29 setembro. 2016.
CNJ (2016). Relatório de Metas 2015. Disponível em: <http://www.cnj.jus.br/gestao-e-planejamento/metas>. Acesso em: 29 setembro. 2016.
DE HAES, S.; VAN GREMBERGEN, W. Enterprise Governance of Information Technology Achieving Alignment and Value, Featuring COBIT 5 Second Edition 2015 London.
FÁVERO, L. P. L. ; BELFIORE, P. P. ; FIGUEIRA JUNIOR, M. F. . Utilização da Anacor para a identificação de meios de pagamento em populações de média e baixa renda. In: IX SEMEAD - Seminários em Administração FEA-USP, 2006, São Paulo. IX SEMEAD - Seminários em Administração FEA-USP, 2006.
Disponível em: <
http://sistema.semead.com.br/9semead/resultado_semead/trabalhosPDF/24.pdf>
Acesso em: 13 setembro. 2017
FÁVERO, L.P. BELFIORE, P. SILVA, F.L. CHAN, B.L. Análise multivariada de dados: modelagem multivariada para tomada de decisões, Elsevier, Rio de Janeiro, 2009.
GSI (2009). Norma Complementar 03/IN01/DSIC/GSIPR. Disponível em: <
http://dsic.planalto.gov.br/documentos/nc_3_psic.pdf >
HARDY, G. Using IT governance and COBIT to deliver value with IT and respond to legal, regulatory and compliance challenges. Information Security Technical,2006.
Disponível em <http://users.du.se/~h13freog/IK2014/1-s2.0-S1363412705000774-main.pdf> Acesso em: 20 setembro. 2016.
ISACA (2012). A Business Framework for the Governance and Management of Enterprise IT.
ISACA (2016). About Cobit. Disponível em: < https://cobitonline.isaca.org/about>.
Acesso em: 29 setembro. 2016.
ITGI. Board briefing on IT governance. IT Governance Institute, 2. ed., 2003.
ITGI, IT Governance Institute. Board Briefing on IT Governance. Second Edition.
2004. ISBN1-89209-64-4. Disponível em: <http://www.itgi.org>. Acesso em: 29 setembro. 2016.
KLUMB, R.; AZEVEDO, B.M. A percepção dos gestores operacionais sobre os impactos gerados nos processos de trabalho após a implementação das melhores práticas de governança de TI no TRE/SC. Rev. Adm. Pública — Rio de Janeiro 48(4):961-982, jul./ago. 2014 Disponível em: < http://dx.doi.org/10.1590/0034-76121651>. Acesso em: 28 outubro. 2016.
LUNARDI, G.L. Um Estudo Empírico e Analítico do Impacto da Governança de TI no Desempenho Organizacional. Tese de Doutorado. Porto Alegre, 2008. Universidade Federal do Rio Grande do Sul.
LUNARDI, G.L.; BECKER, J. L.; MAÇADA, A.C.G. Impacto da Adoção de Mecanismos de Governança de Tecnologia de Informação (TI) no desempenho da Gestão da TI: uma análise baseada na percepção dos executivos Revista de Ciências da Administração, Florianópolis v. 12, n. 28, p. 11-39, set/dez 2010 Disponível em: < https://periodicos.ufsc.br/index.php/adm/issue/view/1576>. Acesso em: 29 setembro. 2016.
LUNARDI, G.L.; DOLCI, P. Governança de TI e seus mecanismos: uma análise da sua disseminação entre as empresas brasileiras. In: ENCONTRO DE ADMINISTRAÇÃO DA INFORMAÇÃO – ENADI, 2, Disponível em: <
http://www.anpad.org.br/diversos/trabalhos/EnADI/enadi_2009/2009_ENADI196.pdf>
. Acesso em: 29 set. 2016.
MEDEIROS, B,C; DANJOUR, F.M.; NETO, M. V. S.; MÓL, A. L. R. GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO: DIFERENÇAS ENTRE ORGANIZAÇÕES PÚBLICAS BRASILEIRAS, GESTÃO PÚBLICA E GOVERNANÇA R. Adm. FACES Journal Belo Horizonte v. 15 n. 2 p. 81-99 abr./jun. 2016. ISSN 1984-6975 (online).
ISSN 1517-8900 (Impressa)
MENDONÇA, C.M.C.; GUERRA, L.C.B.G; NETO, M. V. S; ARAÚJO, A. G. Rev.
Adm. Pública — Rio de Janeiro 47(2):443-468, mar./abr. 2013 Artigo recebido em 16 jul. 2012 e aceito em 23 nov. 2012.
MONTEIRO, I.L.C. Proposta de um Guia para Elaboração de Políticas de Segurança da informação e Comunicações em Órgãos da Administração Pública Federal.
Monografia de Especialização. Departamento de Ciência da Computação, Universidade de Brasília, 2009.
NETTO, A.S.; SILVEIRA, M.A.P. Gestão da segurança da informação: fatores que influenciam sua adoção em pequenas e médias. Revista de Gestão da Tecnologia e Sistemas de Informação Vol. 4, No. 3, 2007, p. 375-397. Disponível em <
http://www.scielo.br/pdf/jistm/v4n3/07.pdf> Acesso em: 19 jan. 2017.
OLIVEIRA, et al. Aplicação das normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 em uma média empresa. Disponível em
<http://periodicos.unifacef.com.br/index.php/resiget/issue/view/129> Acesso em: 19 jan. 2017.
OMAR, O.; ROLT, C. R. A Governança de TIC no processo de modernização das serventias extrajudiciais do brasil. III Encontro de Internacionalização do Conpedi–v.
1 n. 9 Madrid, 2015. Disponível em
<http://portaltutor.com/index.php/conpedireview/article/view/33/30> Acesso em:
19 jan. 2017.
PESTANA, M. H; GAGEIRO, J. N. Análise de Dados para Ciências Sociais – A Complementaridade do SPSS. Lisboa, 2005. Editora Sílabo, Lda. 4ª Edição.
PETERSON, R. Crafting Information Technology Governance. Information Systems Management, Fall 2004.
PEREIRA, C.; FERREIRA, C. Identificação de Práticas e Recursos de Gestão do Valor das TI no COBIT 5. Revista lbérica de Sistemas e Tecnologias de Informação, Portugal,2015, nº 15, jun, p. 17-33.
PINOCHET, L. H.; Matsuda, P. M. Um Ensaio sobre a Perspectiva Contemporânea da Governança de TI na Gestão Pública - 3ª edição - Novembro de 2014 – Revista Brasileira de Previdência, Atuária, Contabilidade. Disponível em:
<http://www.prev.unifesp.br/index.php/edic/21-tres/45-govern-ti> Acesso em: 28 out.
2016
PLANEJAMENTO, 2015. Perguntas Frequentes. Gestão Pública – Referenciais de Excelência, Modelos e Ferramentas. O que é o Programa Nacional de Gestão
Pública e Desburocratização Gespública?
<http://www.planejamento.gov.br/servicos/faq/gestao-publica/gestao-publica- referenciais-de-excelencia-modelos/o-que-e-o-programa-nacional-de-gestao-publica-e>
RAMOS, K. H. C. et al. Multidimensional Analysis of Critical Success Factors for it Governance within the Brazilian Federal Public Administration in the Light of External Auditing data 12th International Conference on Information Systems & Technology
Management – CONTECSI. Disponível em:
<http://www.contecsi.fea.usp.br/envio/index.php/contecsi/12CONTECSI/paper/viewFi le/3086/2402>. Acesso em: 19 out. 2016
SANTOS, G. S.; CAMPOS, F. C. Modelo de Outsourcing para gestão da oferta e operação de serviços de TI: Múltiplos casos de aplicação. Gest. Prod. vol.20 no.1 São Carlos Jan./Mar. 2013 49, p. 218-233. Disponível em:
<http://www.scielo.br/scielo.php?script=sci_arttext&pid=S0104-530X2013000100016
>. Acesso em: 19 out. 2016.
SETHIBE, T.; CAMPBELL, J.; MCDONALD, C. IT Governance in Public and Private Sector Organisations: Examining the Differences and Defining Future Research
Directions. Disponível em: <
https://periodicos.ufsc.br/index.php/adm/issue/view/1576>. Acesso em: 29 setembro.
2016.
SIEGEL, S.; CASTELLAN, N. Estatística Não-Paramétrica para Ciências do Comportamento. 2. ed. Porto Alegre. Artmed, 2006.
SOUZA, J. G. S.; ALMEIDA, R.F.; KUSSAMA, L.; ARIMA, C. H.; GALEGALE N. V.
Gestão de riscos de segurança da informação e sua apresentação na governança de TI da administração pública. X WORKSHOP DE PÓS-GRADUAÇÃO E PESQUISA DO CENTRO PAULA SOUZA - São Paulo, 6 – 8 de outubro de 2015.
Disponível em < http://www.cps.sp.gov.br/pos-graduacao/workshop-de-pos-
graduacao-e-pesquisa/010-workshop-2015/workshop/trabalhos/Sistemas_Produtivos/Gest_Estrat_TI/Gest_riscos_Seguran ca_Inform.pdf> Acesso em: 19 jan. 2017.
STF. Sistema Judiciário Brasileiro: organização e competências. Disponível em: < , http://www.stf.jus.br/portal/cms/verNoticiaDetalhe.asp?idConteudo=169462> Acesso em: 26 set. 2016.
TEODORO, N. A.; PRZEYBILOVICZ, E.; CUNHA, M. A. Governança de tecnologia da informação: uma investigação sobre a representação do conceito. Revista de Administração – RAUSP, São Paulo, 2014, (Abr./Maio/Jun.), v. 49, p. 307-321.
Disponível em: < http://www.scielo.br/pdf/rausp/v49n2/08.pdf>. Acesso em: 26 set.
2016.
TJDFT. Conheça o TJDFT. Disponível em: <
http://www.tjdft.jus.br/institucional/imprensa/noticias/2012/outubro/conheca-o-tjdft-uma-justica-unica> Acesso em: 26 set. 2016.
TRIBUNAL DE CONTAS DA UNIÃO – TCU, Referências do Questionário de
Governança de TI 2016. Disponível em: <
http://portal.tcu.gov.br/comunidades/fiscalizacao-de-tecnologia-da-informacao/atuacao/perfil-de-governanca-de-ti/>. Acesso em: 26 set. 2016.
TRIBUNAL DE CONTAS DA UNIÃO – TCU, Institucional – Competências. 2017.
Disponível em: < http://portal.tcu.gov.br/institucional/conheca-o-tcu/competencias/>.
Acesso em: 01 nov. 2017.
UNITED NATIONS. Global E-Government Readiness Report 2005. Department of Economic and Social Affairs – Division for Public Administration and Development
Management, 2005.
<https://publicadministration.un.org/egovkb/Portals/egovkb/Documents/un/2005-Survey/Complete-survey.pdf>
VAN GREMBERGEN, W.; DE HAES, S.; GULDENTOPS, E. Structures, processes and relational mechanisms for IT governance. In: Van Grembergen, W. Strategies for information technology governance, Hershey: Idea group publishing, 2004.
Disponível em:
<http://www.antwerpmanagementschool.be/media/287503/IT%20Gov%20theories%
20and%20practices.pdf> Acesso em: 26 set. 2016.
WORKING GROUP OF INFORMATION TECHNOLOGY (WGITA). Get.it : governance evaluation techniques for information technology : a WGITA guide for supreme audit institutions. – Brasília : Federal Court of Accounts of Brazil, 2016.
Disponível em: <http://portal.tcu.gov.br/imprensa/noticias/tcu-publica-guia-de-avaliacao-de- governanca-de-ti-em-parceria-com-a-comunidade-internacional.htm>
Acesso em: 26 out. 2016.
XAVIER, M.B.G. Mensuração da Maturidade da Governança de TI na Administração Direta Brasileira. Dissertação de Mestrado. Brasília, 2010. Universidade Católica de Brasília.
APÊNDICES
Apêndice A – Governo eletrônico, gespublica e governança digital
A Organização das Nações Unidas define governo eletrônico como o uso de ferramentas de Tecnologia da Informação e Comunicação (TIC) no processo de transformação de suas relações internas - do próprio governo e externas, ou seja, com a sociedade em geral (UNITED NATIONS, 2005) (PINOCHET e MATSUDA, 2014). Pinochet e Matsuda, 2014 descrevem alguns tipos de comunicação do Governo Eletrônico:
G2G (Governo para Governo) – corresponde à comunicação interna do governo com outras esferas do poder. Ferramentas deste tipo visam a melhorar o fluxo de informações internas ao governo, seja entre departamentos, entre diferentes órgãos e até mesmo entre diferentes instâncias de governo. Exemplo: integração de banco de dados.
G2C (Governo para Cidadão) – corresponde à comunicação do governo com o cidadão. São ações de prestação de serviços por meios eletrônicos e de inclusão digital. Este importante grupo contém todas as aplicações que apontam ao relacionamento com a população, isto é, a interação entre o governo e os cidadãos para prestação de serviços, oferta de informações e o esclarecimento sobre direitos e deveres.
G2B (Governo para Negócio) corresponde à comunicação do governo com as empresas. Fazem parte deste grupo as transações necessárias para abertura, operação e encerramento de uma empresa, bem como as relações do governo com seus fornecedores. Exemplo: portais de compras governamentais.
G2E (Governo para Empregado) corresponde a aplicações voltadas para prestação de informações, treinamento e capacitação. Exemplo: portais para ensino em EaD e comunidades de prática.
Nesse âmbito, no Brasil, foram criados o Programa Nacional de Gestão Pública e Desburocratização - GESPÚBLICA pelo Decreto nº 5.378, de 23 de
fevereiro de 2005, a Carta de Serviços ao Cidadão pelo Decreto nº 6.932, de 11 de agosto de 2009 e a Política Nacional de Governança Digital pelo Decreto no 8.638 em 15 de janeiro de 2016.
O GESPÚBLICA é um conjunto de boas práticas que tem por objetivo estimular e apoiar os órgãos e entidades públicos a implementarem medidas de fortalecimento em sua gestão interna, a fim de oferecerem serviços de melhor qualidade aos cidadãos (RAMOS et al., 2014) (PLANEJAMENTO, 2015).
Já a Carta de Serviços ao Cidadão tem por objetivo informar o cidadão dos serviços prestados pelo órgão ou entidade, das formas de acesso a esses serviços e dos respectivos compromissos e padrões de qualidade de atendimento ao público (BRASIL, 2009).
Complementando os anteriores, a Política Nacional de Governança Digital instituída pelo Decreto no 8.638 em 15 de janeiro de 2016 tem as seguintes finalidades, conforme artigo 1º do Decreto:
I - gerar benefícios para a sociedade mediante o uso da informação e dos recursos de tecnologia da informação e comunicação na prestação de serviços públicos;
II - estimular a participação da sociedade na formulação, na implementação, no monitoramento e na avaliação das políticas públicas e dos serviços públicos disponibilizados em meio digital; e
III - assegurar a obtenção de informações pela sociedade, observadas as restrições legalmente previstas
Em seu artigo 4°, o Decreto 8.638 estipula que o autosserviço será a forma prioritária de prestação de serviços públicos, que serão disponibilizados em meio digital. Além das leis/normas citadas, a lei 12.527 de 18 de novembro de 2011 – Lei de Acesso à Informação – torna-se também fonte de demandas tecnológicas para a Administração Pública.
A utilização das TICs pelos governos poderá possibilitar maior interação entre cidadãos, empresas e governo, inclusive permitindo sua participação nos processos decisórios, bem como aprimorar a capacidade da administração pública de aumentar o valor público (PINOCHET; MATSUDA, 2014).
Apêndice B – Solicitação ao TCU
Pedido de Acesso a informação nº 289004.