Quando se pensa em segurança, a primeira coisa que vem à mente é aumentar os controles. Muitos ainda acham que instalar ferramentas de bloqueio a informações, por si só, configura-se um sistema eficiente. ?Quando na realidade não é?, sentencia Roberval Ferreira França, tenente-coronel e chefe do departamento de pesquisa e inovação da Polícia Militar do Estado de São Paulo, para quem se deve pensar muito além ao abordar tal questão.
A instituição que tem a ?segurança? como negócio vem tratando do assunto sob ótica de TI de forma ampla e pautada por governança. Seus desafios não são diferentes dos enfrentados por outras grandes corporações. Mas não é exagero pensar que as informações que trafegam em seu ambiente sejam mais críticas do que as encontradas na iniciativa privada. ?Temos bases de dados de armas, pessoas, veículos, quadrilhas?, exemplifica.
Considerando as dimensões da área coberta e uma média de 4,5 milhões de chamados recebidos por mês, problemas nos sistemas podem impactar o atendimento de milhares de emergências por dia. O valor de colocar tecnologia e controles para melhorar a segurança das informações da Polícia Militar toca um fato crítico. ?Enquanto as empresas adotam medidas para evitar perda de dinheiro, tentamos evitar, principalmente, perda de vida da população?, explica.
São Paulo é um Estado com cerca de 41,5 milhões de habitantes. O contingente da PM está perto de 93 mil integrantes. Este cenário obrigou a instituição a melhorar seus processos e sua eficácia ao longo dos últimos 19 anos, quando deu início a um movimento de informatização. ?Os sistemas que tínhamos até então ? que eram de suporte administrativo ? passaram a ser desenvolvidos para atender às operações?, relata. Na virada do milênio, a estratégia foi colocar uma camada de inteligência nas atividades de polícia.
A evolução gerou mudanças amplas e sistêmicas. Para se ter uma dimensão, o orçamento de TI cresceu 540% nos últimos seis anos, passando de R$ 7 milhões para R$ 104 milhões em 2010 (e podendo chegar a R$ 400 milhões em 2011). Ao longo do mesmo período, as transformações tocaram questões de segurança. Até 2004, a PM tinha controles muito focados em meios físicos. O avanço da informatização exigiu amplificação de abordagem.
?Contratamos uma consultoria para fazer um assessment da segurança da informação. Esta avaliação revelou certo grau de maturidade de nossa gestão e controles?, detalha. O
objetivo passou por amadurecer os processos até atingir nível 3 ? que pressupõem metodologias definidas, profissionais capacitados e controles implementados ? dentro de um plano de ação, estratégia e conjunto de iniciativas que seriam adotadas em ciclos semestrais.
Padrões
Dentro de um esforço geral de profissionalização da gestão de TI, a PM passou a estudar práticas ligadas à ISO 20 mil para os serviços da área; biblioteca de boas práticas Itil na versão v3; normas ligadas à segurança da informação e ao risco das ISO 27 mil e 31 mil; governança envolvendo Cobit e ISO 38,5 mil; metodologia de engenharia de sistema CMMI e de projeto PMI; de qualidade Six Sigma e ISO 9 mil. ?A Polícia não inventou a roda. Pelo contrário, buscou modelos, frameworks e práticas consolidadas e fruto de discussão de especialistas do mundo todo?, diz o tenente-coronel, citando benchmarkings realizados junto a grandes bancos, empresas privadas e públicas e corporações no exterior.
Com o estudo de todas essas metodologias, há dois anos desenhou-se a estratégia de adoção da gestão de TI em um processo progressivo contemplando investimentos de R$ 4,3 milhões. ?Não tem organização no mundo que incorpore este volume de práticas em um modelo big-bang?, diz França. O recurso foi dividido em R$ 630 mil para capacitação, algo em torno de R$ 400 mil para estruturar o sistema de segurança da informação, aproximadamente R$ 1,4 milhão para redesenho de processos e R$ 1,6 milhão para adoção de ferramentas.
Dentro da visão estratégica, o processo de gestão de segurança foi modelado com auxílio de consultorias específicas e partiu-se para adoção de controle seguindo as normas da ISO 27 mil. O esforço aborda também estruturas de contingência, capacidade, disponibilidade e contempla bancos de dados, aplicações, redes e toca ainda firewall, antivírus corporativo, sistemas de descoberta nas estações conectadas a rede.
Os processos sofrem melhoria contínua ao longo dos anos e, agora, conduzem a PM ao nível 4 de maturidade (que significa sistemas de gestão da segurança já padronizados e automatizados, pessoas capacitadas e começo da medição de eventos, incidentes e a eficácia dos controles). ?Quando você consegue passar estes níveis, chega a um grau de maturidade que te dá controle dos processos de segurança da informação?, avalia França, apontando que a meta mira alcançar este novo patamar nos próximos seis meses.
Consultorias especializadas classificam as ambições da polícia paulista como arrojada. A transição de níveis costuma ocorrer em intervalos de três a cinco anos. ?Faremos em dois anos?, estabelece o tenente-coronel, apontando que quando chegar ao próximo estágio pretende tirar o certificado na ISO de segurança e partir em busca do nível 5 de maturidade. ?É quando a organização chega ao grau de excelência. Nossa meta é alcançar isto em mais 12 meses [contando de julho de 2010]?, projeta, dizendo que o rigor hierárquico e a cultura organizacional das corporações militares ajudaram a acelerar etapas.
Hoje, o executivo diz que a organização já se sente confortável quanto à segurança. ?Se pensarmos na exposição a riscos de seis anos atrás não tínhamos esta tranquilidade?,
compara. Como caso prático, peguemos os ataques da facção Primeiro Comando da Capital (PCC), ocorrido em março de 2006. Naquela época, os sistemas de comunicação da PM eram interceptados por rádios com rastreador de frequência. O processo de modernização previu investimentos vultuosos para ajustes de níveis de segurança destes dispositivos com adoção de protocolo específico e tráfego de dados criptografados, resolvendo a questão.
A Polícia Militar paulista tem 290 policiais de carreira alocados e 130 civis contratados trabalhando em seu departamento de TI. O time principal dedicado à segurança da informação nesta área é composto por cinco PMs e cinco analistas contratados. Envolvidos com a questão, direta ou indiretamente, o projeto atinge 196 pessoas na área.
Como visão de futuro, a instituição quer ser referência em gestão de tecnologia. ?Para tanto, precisa adotar modelos e práticas internacionais?, antecipa. ?Temos como missão da TI prover infraestrutura, sistemas, serviços e instruções tecnológicas inovadoras para suportar as operações da PM e de outros órgãos do governo e, ao mesmo tempo, agregar inteligência ao combate à criminalidade na prestação de serviços de segurança pública?, completa, sinalizando que o departamento já se movimenta para inserir seus colaboradores em comunidades que definem os padrões de mercado. O próprio França integra o grupo da ABNT ligado à discussão da ISO 20 mil e 31 mil.
Nos últimos dois anos, a área de tecnologia da PM já levou soluções para Polícia Civil, para Polícia Técnico-Científica de São Paulo, para Companhia de Engenharia de Trânsito, para Secretaria de Segurança Pública e organismos de segurança de outros estados. ?Tornamo-nos um grande provedor?, avalia.
ð Você tem Twitter? Então, siga http://twitter.com/IT_Web e fique por dentro das principais notícias de TI e telecom.
