Analista Judiciário - Tecnologia da Informação: Preparação Completa para Concursos do Judiciário

Novo curso

24 páginas

Todos os cursos > Concursos > Técnico Judiciário ::

Ética, transparência e segurança institucional para Analista Judiciário - TI: condutas e conformidade

Capítulo 23

Tempo estimado de leitura: 12 minutos

+ Exercício

Condutas esperadas no serviço público (foco em TI no Judiciário)

No contexto do Judiciário, a atuação do Analista Judiciário – TI exige conduta compatível com o interesse público, com decisões técnicas justificáveis, rastreáveis e alinhadas a normas internas. Ética, aqui, significa agir com imparcialidade, honestidade, urbanidade e responsabilidade, evitando favorecimentos e reduzindo riscos institucionais (ex.: vazamentos, manipulação de evidências digitais, uso indevido de sistemas).

Na prática, a conduta esperada se traduz em: cumprir normas e procedimentos; tratar usuários e partes com isonomia; registrar decisões e mudanças relevantes; evitar atalhos que comprometam segurança e auditoria; comunicar incidentes e irregularidades; e recusar solicitações incompatíveis com regras, mesmo que venham de pessoas hierarquicamente superiores.

Checklist de conduta diária (aplicável a rotinas de TI)

Atuar somente dentro das atribuições e autorizações formais (perfil de acesso, ordem de serviço, chamado, designação).
Manter postura impessoal: decisões técnicas baseadas em critérios e evidências, não em preferências pessoais.
Registrar o que foi feito: mudanças, acessos excepcionais, extrações de dados, restaurações, intervenções emergenciais.
Evitar “jeitinhos” operacionais: compartilhar senha, usar conta de colega, desativar logs para “facilitar”.
Reportar riscos e incidentes: falhas, suspeitas de fraude, tentativas de acesso indevido, perda de mídia, e-mails suspeitos.
Preservar evidências: quando houver indício de incidente, evitar ações que destruam rastros (logs, arquivos temporários, trilhas de auditoria).

Conflito de interesses: identificação e tratamento

Conflito de interesses ocorre quando interesses privados (financeiros, familiares, relacionais ou de carreira) podem influenciar, ou parecer influenciar, uma decisão pública. Em TI, o risco é elevado porque decisões técnicas (aquisição, contratação, homologação, priorização de demandas, concessão de acesso) podem beneficiar pessoas ou empresas.

Sinais comuns de conflito de interesses em TI

Participar de decisão/parecer sobre fornecedor com o qual você tem vínculo (ex.: consultoria, parentesco, sociedade, amizade íntima).
Receber brindes, convites, vantagens ou promessas em troca de “ajuda” técnica (priorizar chamado, flexibilizar requisito, antecipar informação).
Atuar em processos que envolvam parte/advogado/servidor com relação pessoal próxima, quando isso afeta decisões de acesso ou extração de dados.
Usar informação obtida no trabalho para benefício próprio (ex.: dados de licitação, vulnerabilidades, dados pessoais, estatísticas internas).

Passo a passo prático: como agir diante de possível conflito

1) Reconheça o risco: pergunte-se se um observador externo poderia questionar sua imparcialidade.
2) Interrompa a atuação decisória: evite assinar parecer, aprovar mudança, homologar entrega ou conceder acesso enquanto o tema não for tratado.
3) Registre e comunique: formalize a situação ao superior imediato e/ou unidade competente (conforme norma interna), preferencialmente por meio oficial (processo, e-mail institucional, sistema de gestão).
4) Solicite substituição/redistribuição: peça que outro servidor assuma a análise/decisão.
5) Preserve evidências: mantenha registros de comunicações e decisões para auditoria.

Cenário prático (decisão de conduta)

Situação: você integra a equipe que vai avaliar tecnicamente uma solução de monitoramento. Um dos fornecedores é representado por um parente próximo.

Conduta esperada: declarar o potencial conflito, solicitar afastamento da avaliação e não acessar documentos internos para orientar o fornecedor. Mesmo que você se considere “imparcial”, a aparência de favorecimento compromete a credibilidade do processo.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...

Baixar o aplicativo

Uso adequado de recursos de TI: limites e boas práticas

Recursos de TI (computadores, rede, e-mail, sistemas, contas, licenças, dados, infraestrutura em nuvem, ferramentas de administração) existem para finalidades institucionais. O uso adequado envolve respeitar políticas internas, reduzir riscos e garantir rastreabilidade. Em ambiente judicial, o impacto de um uso indevido pode alcançar processos, decisões e direitos de terceiros.

Condutas vedadas ou de alto risco (exemplos típicos)

Instalar software sem autorização (inclusive “gratuito”), extensões de navegador, ferramentas de acesso remoto ou scripts não validados.
Usar e-mail institucional para fins pessoais sensíveis (cadastros particulares, envio de documentos privados) ou para encaminhar dados institucionais a contas pessoais.
Conectar mídias e dispositivos não autorizados (pendrives, HDs externos, celulares) em máquinas administrativas.
Executar varreduras, testes de intrusão ou coleta de dados sem ordem formal e sem janela autorizada.
Compartilhar credenciais, tokens, certificados, chaves ou usar contas genéricas sem controle.
Usar recursos institucionais para projetos privados (hospedar site pessoal, minerar criptomoeda, rodar automações para terceiros).

Passo a passo prático: como avaliar se um uso é permitido

1) Verifique a finalidade: atende uma demanda institucional formal (chamado, ordem de serviço, projeto aprovado)?
2) Verifique a autorização: você tem permissão (perfil, papel, delegação) e existe norma/procedimento para isso?
3) Verifique o impacto: pode afetar disponibilidade, integridade, confidencialidade, desempenho ou auditoria?
4) Verifique a rastreabilidade: haverá registro do que foi feito (logs, ticket, change record, ata)?
5) Se houver dúvida, formalize: peça orientação por canal oficial antes de executar.

Cenário prático (identificação de violação)

Situação: um colega pede sua senha “só para hoje” para concluir uma configuração urgente.

Violação: compartilhamento de credenciais e quebra de rastreabilidade.

Conduta esperada: negar, oferecer alternativa segura (executar você mesmo a ação, solicitar elevação temporária de privilégio via procedimento, ou acionar plantão/gestão). Registrar a urgência no chamado.

Confidencialidade e responsabilidade no manuseio de informações

Confidencialidade é o dever de proteger informações contra acesso, uso ou divulgação não autorizados. No Judiciário, isso inclui dados pessoais, informações processuais, dados de servidores, registros de auditoria, credenciais, detalhes de vulnerabilidades e qualquer conteúdo classificado por norma interna. Responsabilidade significa que o servidor responde por decisões e atos, inclusive por omissões (ex.: não reportar incidente) e por negligência (ex.: deixar dados expostos).

Princípios práticos de manuseio seguro (sem repetir fundamentos técnicos)

Necessidade de saber: acessar apenas o mínimo necessário para executar a tarefa.
Minimização: extrair e compartilhar apenas o estritamente necessário (menos colunas, menos linhas, menos tempo de retenção).
Ambiente correto: usar repositórios e canais institucionais autorizados; evitar mensageria pessoal e e-mails externos.
Controle de versões e trilha: manter histórico do que foi alterado e por quem, especialmente em scripts, relatórios e configurações.
Descarte seguro: seguir procedimento para eliminação de mídias, documentos e arquivos temporários.

Passo a passo prático: extração de dados para atender demanda interna

1) Valide a solicitação: origem institucional, finalidade, base documental (processo, memorando, chamado) e autorização.
2) Defina o mínimo necessário: quais campos e período são indispensáveis? Evite dados sensíveis se não forem necessários.
3) Execute em ambiente controlado: preferir ferramentas e servidores institucionais; evitar copiar para máquina local sem necessidade.
4) Proteja o transporte e o armazenamento: use repositório oficial com controle de acesso; evite anexos em massa por e-mail.
5) Registre a entrega: quem solicitou, quem autorizou, o que foi entregue, quando, e por qual canal.
6) Retenção e descarte: mantenha apenas pelo tempo definido; elimine cópias temporárias conforme norma.

Cenário prático (decisão de conduta)

Situação: um magistrado solicita, por mensagem informal, uma planilha com dados de servidores para “análise rápida”, sem indicar processo ou finalidade.

Conduta esperada: orientar que a solicitação seja formalizada no canal adequado (processo/chamado) com a finalidade e autorização necessárias; oferecer alternativa de relatório institucional já existente com acesso controlado; evitar envio por canal informal. A hierarquia não elimina a necessidade de conformidade e registro.

Transparência e acesso à informação (nível conceitual) e seus limites

Transparência é o dever de dar publicidade a informações de interesse coletivo, permitindo controle social e accountability. Acesso à informação é o direito de obter dados e documentos públicos, observadas exceções legais e institucionais (sigilo, proteção de dados pessoais, segurança institucional e informações sensíveis). Para TI, o ponto central é operacionalizar esse equilíbrio: disponibilizar o que é público com qualidade e rastreabilidade, e proteger o que é restrito.

Como a TI apoia transparência sem violar sigilo

Publicação de dados e relatórios em portais oficiais com governança de conteúdo (responsável, versão, data, fonte).
Separação clara entre ambientes e bases: dados para transparência não devem expor dados restritos por falha de filtragem.
Revisão e validação: antes de publicar, checar se há dados pessoais, metadados sensíveis, campos ocultos e anexos indevidos.
Trilha de auditoria: registrar quem publicou, o que foi publicado e quando, permitindo correção e responsabilização.

Cenário prático (identificação de violação)

Situação: ao publicar um relatório em PDF, o arquivo contém metadados com nome de usuário, caminho de rede interno e comentários com dados pessoais.

Violação: exposição indireta de informação sensível por metadados/versões.

Conduta esperada: remover metadados e comentários, revisar o fluxo de publicação, registrar o incidente e corrigir o documento no portal com versionamento.

Preservação e integridade de registros: obrigações e práticas

Registros (logs, trilhas de auditoria, registros de chamados, evidências de mudanças, documentos administrativos, relatórios de incidentes) sustentam a transparência, a responsabilização e a confiabilidade institucional. Preservação significa garantir que registros existam, sejam recuperáveis e permaneçam disponíveis pelo período definido. Integridade significa que registros não sejam alterados indevidamente e que qualquer alteração legítima seja rastreável.

O que costuma ser considerado registro crítico em TI no Judiciário

Logs de autenticação, autorização e administração (acessos privilegiados, alterações de configuração).
Registros de mudanças (change records), janelas de manutenção, aprovações e rollback.
Chamados e ordens de serviço com histórico de execução.
Relatórios de incidentes e evidências associadas (hashes, cópias, carimbos de tempo, cadeia de custódia quando aplicável).
Registros de publicação/atualização em portais e sistemas de transparência.

Passo a passo prático: preservação de logs diante de suspeita de incidente

1) Não “limpe” o ambiente: evite reiniciar serviços, apagar arquivos temporários ou desativar auditoria sem orientação.
2) Isole com cautela: se necessário, restrinja acessos para conter o dano, preservando evidências.
3) Faça cópia controlada: exporte logs e evidências para repositório seguro, com controle de acesso.
4) Registre contexto: data/hora, sistemas afetados, contas envolvidas, ações executadas, responsáveis.
5) Garanta integridade: use mecanismos de verificação (ex.: hash) e mantenha cadeia de custódia conforme procedimento interno.
6) Comunique formalmente: acione equipe responsável (segurança/gestão) e siga o fluxo institucional.

Cenário prático (violação grave)

Situação: após erro em produção, um administrador apaga logs para “evitar questionamentos” e reconfigura o sistema sem registrar mudança.

Violação: destruição de registro e quebra de integridade/auditoria, com potencial de responsabilização administrativa e impacto em apurações.

Conduta esperada: manter logs, registrar o incidente, executar correção com change record, e permitir auditoria do ocorrido.

Roteiro de decisão rápida: como identificar violações e escolher a conduta

Use o roteiro abaixo para avaliar solicitações e situações ambíguas no dia a dia.

Perguntas de triagem (em ordem)

Legalidade e norma interna: existe procedimento que autoriza? há proibição explícita?
Finalidade pública: atende interesse institucional ou é conveniência pessoal?
Autorização e competência: quem pediu tem competência? você tem permissão para executar?
Risco e impacto: pode expor dados, afetar processo, comprometer auditoria ou segurança?
Registro e transparência interna: consigo documentar o que foi feito e por quê?
Aparência de impropriedade: como isso pareceria em uma auditoria ou notícia?

Ações recomendadas conforme o resultado

Se estiver claro e autorizado: execute e registre.
Se estiver incerto: peça formalização, consulte norma/gestão, não execute ações irreversíveis.
Se estiver proibido ou antiético: recuse, ofereça alternativa conforme procedimento e registre a orientação.
Se houver indício de irregularidade/incidente: preserve evidências, comunique pelos canais oficiais e limite a exposição.

Mini-casos para treino (marque a conduta correta)

Pedido: “Me mande a base completa para eu cruzar em casa.” Conduta: negar envio para ambiente pessoal; oferecer relatório mínimo em canal institucional e exigir formalização.
Pedido: “Desative a auditoria por uma hora para melhorar desempenho.” Conduta: não desativar sem avaliação e autorização formal; propor ajuste planejado e registrado.
Pedido: “Crie um usuário admin genérico para a equipe.” Conduta: evitar conta genérica; propor contas nominativas e procedimento de elevação temporária com registro.
Pedido: “Antecipe para mim o resultado da contratação; sou amigo do fornecedor.” Conduta: recusar, registrar tentativa de obtenção de informação privilegiada e comunicar conforme norma.

// Exemplo de registro mínimo (modelo) para ações sensíveis em TI
// Use em chamado/processo conforme padrão do órgão
Ação: Extração de relatório / Alteração de configuração / Concessão temporária de acesso
Solicitante: (nome, unidade, contato)
Autorização: (processo/chamado, responsável, data)
Finalidade: (descrição objetiva)
Escopo: (sistemas, período, campos/dados)
Execução: (passos realizados, scripts/consultas referenciados)
Evidências: (logs anexados, hash, prints, IDs de auditoria)
Entrega: (canal, destinatário, data/hora)
Retenção/Descarte: (onde ficou armazenado, prazo, ação de descarte)
Responsável técnico: (nome, matrícula, data/hora)

Agora responda o exercício sobre o conteúdo:

Um colega solicita sua senha “só para hoje” para concluir uma configuração urgente. Qual conduta é mais adequada para manter segurança e rastreabilidade no ambiente de TI do Judiciário?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

Compartilhar credenciais ou usar conta genérica quebra a rastreabilidade e aumenta o risco. A conduta correta é recusar, adotar alternativa prevista em procedimento (execução direta ou privilégio temporário) e registrar a demanda para auditoria e responsabilização.