Ministério da Fazenda
Prover e Integrar soluções em tecnologia da Informação e Comunicações para um Brasil de todos

Portal do SERPRO

Ferramentas Pessoais
Você está aqui: Entrada A Instituição Prêmios e Certificações 2006 BS7799
Acções do Documento
A Instituição >> Prêmios e Certificações

Segurança do Serpro tem reconhecimento internacional

Certificado BS7799

O Serpro é a primeira empresa pública brasileira a conquistar a certificação British Standart 7799, conhecida como BS7799.

Criada em 1995, a norma britânica é tida como referência mundial em relação à segurança da informação. O certificado é concedido apenas a empresas que geram, implementam e mantém um sistema de gerenciamento que garanta integridade, disponibilidade e confidencialidade em seus serviços. Isso significa que a certificação confere reconhecimento internacional da qualidade dos serviços de segurança do Serpro.

A certificação coloca o Serpro em uma posição de vanguarda em segurança. "Com o certificado, a empresa torna-se referência em segurança tanto para o governo como para o empresariado brasileiro em geral", ressalta o diretor do Serpro Antônio Sérgio Cangiano. "Somos a primeira instituição brasileira no segmento governo a obter tal certificado e isso nos deixa muito orgulhosos", completa o diretor.

"Essa certificação vem coroar o Serpro como uma empresa com foco em segurança tanto interna como para os clientes", ressalta Gilberto Netto, coordenador do Centro de Certificação Digital do Serpro. O certificado BS7799 assegura que a Empresa adota padrões rígidos de segurança e que passa por auditorias freqüentes.

"A conquista do certificado mostra que todos os procedimentos ligados à certificação digital adotados pelo Serpro acontecem corretamente. Além disso, temos um órgão internacional aferindo que nossos serviços de segurança estão de acordo com normas internacionais e plenamente vivos dentro da empresa", explica o diretor Cangiano.

Desde maio de 2005, o Serpro se prepara para a conquista do certificado. "O trabalho foi realizado por uma equipe totalmente engajada na obtenção de uma certificação até então inédita para a empresa", explica Gilberto Netto. Desde então, o Centro de Certificação Digital (CCD) do Serpro no Rio de Janeiro foi auditado diversas vezes internamente para verificar a conformidade dos controles de segurança utilizados no CCD com aqueles definidos pela norma.

Em dezembro do ano passado, foi a vez da Det Norske Veritas (DNV) realizar a primeira auditoria no local. A DNV é uma fundação internacional com sede na Noruega que atua no setor de Gestão de Segurança da Informação. Ela existe desde 1864 e opera em cerca de 100 países. A auditoria final ocorreu há poucas semanas e resultou na recomendação da DNV para a emissão do certificado ao Serpro.

A certificação conquistada pela empresa está ligada ao serviço de criação, operação e manutenção de Autoridades Certificadoras (ACs), serviço que hoje é prestado pelo Serpro para a Receita Federal, Presidência da República, Justiça Federal, além das ACs do próprio Serpro. "Para conquistarmos esse certificado foi necessário implementar o sistema de gerenciamento de segurança da informação com a geração de toda a documentação descrevendo o sistema, aprimorando a documentação operacional já existente, além da realização de todo o ciclo PDCA, Plan, Do, Check e Act, envolvendo a execução de novas avaliações de risco e execução do respectivo Plano de Tratamento, auditorias internas e revisão pela alta direção", explica Alice Vasconcellos, gerente responsável pela implementação do sistema.

"O ganho direto obtido foi o aprimoramento da gestão do serviço realizado no escopo da certificação. Além disso, os serviços de segurança e suas necessidades de manutenção receberam uma maior visibilidade por parte da diretoria do Serpro, que se envolveu fortemente com a questão. Durante as auditorias externas, o ganho indireto foi obtido. Isso porque, durante o período, a DNV elogiou a Auditoria do Serpro pela forte estruturação e pelo ótimo sistema de planejamento e acompanhamento das auditorias", acrescenta Alice.

O próximo objetivo do Serpro é obter a certificação ISO27001, a nova norma de segurança da informação, também com reconhecimento internacional, o que deverá ocorrer em novembro deste ano. Além disso, pretende-se ampliar o escopo inicial da certificação obtida.

 

O padrão BS7799

Trata-se de um código de prática para a segurança da informação publicado no ano de 1995. O objetivo inicial foi estabelecer um sistema de gestão para segurança da informação que oferecesse subsídios para o desenvolvimento de normas e práticas relacionadas ao assunto.

A tendência é que a BS7799 torne-se cada vez mais importante para as organizações de todo o mundo, pois além de garantir que as informações internas são gerenciadas de forma segura, comprova aos clientes que a empresa dispõe de controles adequados para a proteção das informações.

No Brasil, apenas seis organizações obtiveram tal certificação, sendo o Serpro a primeira no âmbito da administração pública do país.

Conheça os itens de controle abrangidos pelo padrão BS7799:

  • Política de segurança de informação;
  • Organização da segurança;
  • Classificação e controle dos recursos de TI;
  • Segurança do quadro de pessoal;
  • Segurança física e ambiental;
  • Gerência de redes e computadores;
  • Controle de acesso;
  • Desenvolvimento e manutenção do sistema;
  • Planejamento da continuidade do serviço;
  • Conformidade com a política de segurança.

 

Coordenação de Comunicação Empresarial do Serpro, 13 de março de 2006