Um sistema de gestão em segurança da informação, ou SGSI, é um conjunto sistemático de procedimentos, normas, políticas, implementações tecnológicas e ações de conscientização que visam diminuir os riscos inerentes às informações do TJMS.

Segundo o CNJ, Toda informação gerada, armazenada, processada, transmitida e descartada por qualquer agente do Judiciário Brasileiro é considerada patrimônio valioso. Sendo assim, as informações do Poder Judiciário de Mato Grosso do Sul, independente de formato, tem valor e deverá ser devidamente protegido.

É nessa necessidade crucial que o SGSI entra. Sua finalidade é dar corpo e centralizar as diversas medidas necessárias para se implementar a segurança da informação em âmbito institucional. No caso do TJMS, nosso modelo de SGSI é construído em cima de três pilares que são:

• Tecnologia: é o pilar mais diretamente relacionado aos recursos tecnológicos usados para garantir a segurança da informação nos sistemas informatizados e na rede do TJMS.

• Processos: são um conjunto de ações de gestão e de administração que implementam normas, procedimentos de trabalho e fluxogramas de ações de atividades no dia a dia de trabalho da organização.

• Pessoas: elemento humano que é tido como o elo mais fraco, uma vez que, representa toda subjetividade e imprevisibilidade característico do comportamento humano no ambiente de trabalho.

Assim, toda ação que visa implementar um procedimento de segurança da informação irá considerar esses três pilares, levando-se em conta a especificidade de cada um, com seus desafios e especificidades.

Além disso, o SGSI/TJMS está estruturado para atuar por domínio, ou seja, suas ações também levarão em consideração em que nível organizacional deverá atuar.

Os 4 domínios propostos seriam:

• Segurança organizacional: cobre aspectos administrativos da segurança da informação, incluindo gestão de riscos, elaboração de plano de tratamento de riscos, definição do escopo de atuação do sistema gestor, definição de políticas e procedimentos, definição de fluxogramas de trabalho com foco em segurança e avaliação do ambiente corporativo quanto aos requisitos de segurança da informação para proposta de melhoria;

• Segurança de TIC: cobra aspectos tecnológicos e de recursos de TI para redução dos riscos referentes à invasão de sistemas por agentes externos, vazamento e dano a dados e informações, gestão de credenciais de usuários da rede e da internet.

• Segurança física: cobre aspectos de segurança da informação especificamente relacionados à responsabilidade do ambiente físico, tal como acesso à edifícios, salas, locais sensíveis, monitoramento de ambientes, entre outras medidas.

• Gestão SGSI: Cobre aspectos de gestão do próprio sistema proposto, conforme orientações da NBR ISO/IEC 27001 e NBR ISO/IEC 27003.

Para que as ações do SGSI obtenham sucesso, a alta administração deveria ser a primeira a entender a importância da tomada de algumas posturas e ações. Assim, a figura de um Comitê Gestor de Segurança da Informação era imprescindível para apoiar nas diversas atividades propostas. Neste caso, a Comissão Permanente de Segurança Institucional apoiado pelo Comitê Gestor de Informática, através do Provimento Nr 324, de 22 junho de 2014, assumiu as atribuições de promover a Segurança da Informação por todo Órgão.

O desafio é enorme, principalmente levando em consideração a infindável quantidade de informações produzidas e geridas nos mais diversos níveis dentro do Poder Judiciário. Somente, uma abordagem sistemática de gestão poderia possibilitar que a segurança da informação se torne a cada dia, assunto corriqueiro e massificado.